Re: Alcuni quesiti riguardanti multicasting e igmp

Ciao !

In passato mi son preso la briga di dare una sguardata ai protocolli di
routing in multicast, in particolare al DVMRP (Distance Vector Multicast
Routing Protocol) e molto meno in dettaglio PIM (Protocol Independent
Multicasting).
PIM e' supportato dalla maggior parte dei Cisco, e incapsula gli altri
protocolli di routing multicast.
Il problema principale e' che il multicasting, a livello router e' abilitato
solo su alcuni provider e solitamente solo sui router piu' periferici.
Durante una serata piuttosto "creativa" in periodo SMAU, mi trovai a parlare
di questa cosa con Fusys, Naif e altri ("Hai detto MD5  ??" vi ricorda
qualcosa !?), ci si ripromise di fare alcune prove ma poi il tempo tiranno e
gli impegni ci han fatto prendere strade diverse.
Ovviamente pensavo a un DoS piu' cattivello che facesse le seguenti cose:

1) Si mettesse in ascolto intercettando gli "announcement" delle fonti di
trasmissione (tramite protocollo SAP-Session Announcement Protocol) e
costruisse una "lista" di sorgenti multicast.

2) Dato un determinato bersaglio, iscrivesse tale ip ai gruppi di ascolto,
ma per come e' strutturato il multicasting bisogna spoofare dei messaggi di
routing in DVMRP, facendo apparire l'ip bersaglio come un router che si
"aggancia" allo spanning tree (che nel caso di DVMRP viene costruito al
contrario).

Cio' significherebbe far arrivare qualche decina o centinaio di megabit (a
seconda della quantita' e qualita' delle sorgenti multicast) al malcapitato.

Problemi:

a) Non sai quali sono le "source", per quanto so io SAP e' ancora in via di
implementazione definitiva.
b) L'iscrizione al gruppo deve essere continuamente rinnovata via IGMP (ogni
30 secondi mi pare) quindi o "scheduli" ogni tot un IGMP oppure non puoi
dropparli perche' devi rispondere ad hoc alle richieste.
c) Potrebbero esserci delle "zone oscure" di router tra la sorgente e il
bersaglio che non supportano il multicast (non e' ancora cosi' diffuso)

L'idea e' molto interessante e potenzialmente distruttiva, roba da far
impallidire uno smurf.. pero' credo che se ne debba riparlare tra un annetto
o due :-)

bye, Alessandro Dellavedova

PS: Probabilmente ho detto anche io qualche cavolatina-ona, visto che 'sta
roba l'ho guardata circa 1 annetto fa. Spero che qualche anima buona mi
corregga se ho fallato :-))

----- Original Message -----
From: "David Coppa" <coffeec@tin.it>
To: <ml@sikurezza.org>
Sent: Thursday, May 24, 2001 10:25 PM
Subject: Alcuni quesiti riguardanti multicasting e igmp


Premetto, al fine di evitare equivoci, che probabilmente sparerò un sacco di
caxxate :).
Vorrei solo avere dei chiarimenti utili a verificare la corretta
comprensione da
parte mia di alcuni concetti riguardanti il multicasting e gli host group.
Del resto <<Sbagliando si impara>> (Vox populi, vox dei :)).
Allora, come si è già detto su questa ml (vedi "Bad packet from ppp0 -
Mittente: Gigi Messina"),
TIN manda a tutti, compresi gli host in dialup, pacchetti igmp in multicast
al
fine (mi pare di aver capito) di aggiornare dinamicamente le tabelle di
routing. La mia domanda e' la seguente:
Se io mando una marea di pacchetti igmp verso 224.0.0.1 spoofando l'ip della
macchina di tin che risponde dall'altro capo della linea e magari bloccando
quelli che tornano al mio host (dato che anch'io faccio parte dello stesso
"host
group")... posso montare un DoS?

Esempio:
hping2 -i u1 -I ppp0 -0 -H 2 -t 1 -d 8 -a <ip della macchina tin> 224.0.0.1
iptables -A INPUT -p igmp -j DROP

Vorrei soprattutto sapere se, in via del tutto teorica, un attacco del
genere o altri simili siano possibili.
Ringrazio anticipatamente coloro che chiariranno i miei dubbi,
David Coppa <coffeec@tin.it>
fingerprint = 849F 801C CA74 F451 CB69  EB67 BB3B 92DC E183 7616
finger caffeine@unix-shells.com for the key
// Life is like a Windows box. You never know what bluescreen you're gonna
get

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List