Smurf, il padre degli attacchi amplificati

Smurf è uno dei DOS attack che si basano sull'amplificazioni della banda più noti.
Anche se è un tipo di attacco diffuso da anni e se i suoi effetti sono facilmente individuabili sia per l'impotente vittima che per chi gestisce i network utilizzati per l'amplificazione, esistono tuttora varie reti che permettono di utilizzare questi tipi di attacco.

Smurf si basa su una tecnica di amplificazione dovuta alla natura del protocollo IP che può essere facilmente ovviata con una corretta configurazione dei dispositivi di rete.
L'amplificazione si ottiene inviando un pacchetto ICMP ECHO ad un indirizzo di broadcast di una rete, tramite il comando Ping.
Colui che vuole sferrare l'attacco innanzitutto si preoccuperà di spoofare il proprio indirizzo IP inserendo nel campo sorgente dei pacchetti IP l'indirizzo IP della vittima da lui selezionata. Prossimo passo sarà quello di scegliere una rete che faccia poi da amplificatore per l'attacco e cominciare a spedire quanti più pacchetti possibili verso
l'indirizzo di broadcast della rete prescelta.
Il router della rete selezionata, all'arrivo dei pacchetti inviati li inoltrerà verso tutti gli indirizzi IP facenti parte della sua sottorete.
Ogni computer che riceve il pacchetto ICMP risponde con un altro pacchetto ICMP diretto verso l'IP mittente che,
come abbiamo visto precedentemente, l'attaccante ha modificato con l'IP della vittima. Questo vale per tutti i computer presenti nella sottorete che a loro volta invieranno un pacchetto ICMP alla vittima occupandone la relativa banda Internet.
Si noti che il danno recato dai pacchetti ICMP sarà più elevato tanto quanti computer sono presenti nella rete.
Mettiamo di inviare un solo pacchetto ICMP a una rete contenente 100 sistemi configurati in modo da rispondere, l'aggressore riesce in pratica a moltiplicare il suo attacco DoS di ben 100 volte.

CONTROMISURE
Per evitare di essere utilizzati da terzi come amplificatore per il loro smurf, sarebbe bene disattivare sul proprio router esterno la funzione di risposta delle richieste ICMP mandate all'indirizzo di broadcast della rete dall'aggressore.
Il comando tipicamente utilizzato con router Cisco è il seguente: no ip directed-broadcast e va applicato a livello di interfaccia. Nelle versioni recenti dell IOS questo comando è attivo di default.
E' inoltre possibile disabilitare questa funzione direttamente via software, dato che alcuni sistemi operativi quali Solaris, Linux, FreeBSD, AIX 4.x  prevedono la possibilità  di evitare queste richieste.

Linux:
Per impedire a un sistema Linux di rispondere alle richieste broadcast di ECHO, è possibile attivare il firewall a livello di kernel utilizzando iptables.

Unix:
Per impedire agli host di rispondere all'attacco Fraggle (una variante di Smurf che invece di usare un ECHO ICMP utilizza un ECHO sulla porta 7 UDP), disattivare echo e chargen in /etc/inetd/conf inserendo un # prima del nome dei servizi.

Durante l'attacco:
Abbiamo visto la grave minaccia rappresentata dalla possibilità di essere oggetto di un attacco smurf.
Come già detto prima sarebbe bene limitare il traffico ICMP e UDP in ingresso sui router esterni ai soli sistemi interni della rete che realmente necessitano questo servizio, e possibilmente solo per tipi ICMP prestabiliti.
E' possibile limitare la banda da destinarsi al servizio di ICMP a valori acettabili attivando la funzione di CAR (Committed Access Rate) disponibile nelle versioni di Cisco IOS 1.1CC, 11.1CE e 12.0, restringendo tale banda a valori acettabili.
Se prevenire non è più possibile la migliore via di uscita è cercare di collaborare con il proprio ISP e con la società proprietaria della rete di amplificazione, ricordandosi comunque che per quanto risalire all'aggressore sia possibile  non è affatto semplice.
Si inizia quindi con l'individuazione dell'interfaccia che ha ricevuto il pacchetto contraffatto e si risale in tal modo al router precedente, percorrendo al contrario gli hop del pacchetto inviato dall'aggressore fino a giungere alla rete originaria. Una simile procedura risulta nella maggior parte dei casi molto complicata in quanto richiede l'intervento di network administrator di diversi Autonomous Systems, eventualmente displocati su nazioni diverse.

Questo genere di attacco è destinato ad essere sempre meno diffuso anche grazie al contributo di alcuni progetti che nei loro siti web inseriscono gli IP delle reti che ancora permettono uno Smurf (e generalmente gengono notificati di questa misconfigurazione). Ovviamente questi siti possono essere utilizzati da un malintenzionato per trovare reti che ancora possono essere da lui utilizzati per simili attacchi.

Altra utile contromisura, che non evita che la propria rete possa essere vittima di un DOS attack, ma impedisce agli utenti della rete stessa di portare a termine molti attacchi basati sullo spoofing degli IP sorgenti, è quella di implementare filtri in uscita dalle proprie linee, che impediscano l'invio in rete di pacchetti spoofati che abbiamo un IP sorgente diverso da quelli presenti nella propria rete.

Privacy Policy