Re: Alcuni quesiti riguardanti multicasting e igmp

TIn ti manda pacchetti manda pacchetti multicast non a te ma alla
all-ospf-routers.mcast.net semplicemente per aggiornare i database della
tabelle di routing.
utilizzando il protocollo di routing dinamico OSPF (Open Shortest Path
First)

se ti arrivano pacchetti multicast per questo motivo (attenzione non so se
sono proprio quelli, me lo stai dicendo tu) significa che il tuo pc si è
registrato per ricevere questo tipo di pacchetti.

ricordo che il multicast è fatto apposta per fare in modo di mandare dati a
più computer contemporaneamente con la formazione minima di traffico.

detto in poche parole, io TIN, non mando pacchetti a tutti, li mando solo a
chi me li chiede (tregistrandosi al gruppo Multicast).

per quanto riguarda il DoS mandando pacchetti alla 224.0.0.1 li stai
mandando alla all-system.mcast.net ovvero il gruppo multicast di tutti i
sistemi operativi, ciò significa che se spoofi l'indirizzo sorgente,
registrerai non te al gruppo ma l'indirizzo che hai spoofato.

certo potrebbe essere un metodo per mandare pacchetti ad un altro host, però
non funziona proprio cosi' :-)
la classe multicast è una dove non ci sono bit per gli host ma solo bit per
i gruppi.
quindi non esiste nessun host con con l'indirizzo 224.0.0.1 esisterà
soltanto una tabella di routing con questa entry. Ciò vale a dire che tu
puoi cercare di pacchettare un altro con il tuo DoS ma non è detto che ci
riesci, dipende dalla tavole di routing dei routers che passi per arrivare
all'host vittima, inoltre esistono alcuni routers che non supportano il
routing multicast oppure ce l'hanno disabilitato. :-)

Ho cercato di essere il più chiaro possibile e spero di essermi spiegato,
aspetto di confrontare la mia opinione con quella degli altri.


----- Original Message -----
From: "David Coppa" <coffeec@tin.it>
To: <ml@sikurezza.org>
Sent: Thursday, May 24, 2001 10:25 PM
Subject: Alcuni quesiti riguardanti multicasting e igmp


Premetto, al fine di evitare equivoci, che probabilmente sparerò un sacco di
caxxate :).
Vorrei solo avere dei chiarimenti utili a verificare la corretta
comprensione da
parte mia di alcuni concetti riguardanti il multicasting e gli host group.
Del resto <<Sbagliando si impara>> (Vox populi, vox dei :)).
Allora, come si è già detto su questa ml (vedi "Bad packet from ppp0 -
Mittente: Gigi Messina"),
TIN manda a tutti, compresi gli host in dialup, pacchetti igmp in multicast
al
fine (mi pare di aver capito) di aggiornare dinamicamente le tabelle di
routing. La mia domanda e' la seguente:
Se io mando una marea di pacchetti igmp verso 224.0.0.1 spoofando l'ip della
macchina di tin che risponde dall'altro capo della linea e magari bloccando
quelli che tornano al mio host (dato che anch'io faccio parte dello stesso
"host
group")... posso montare un DoS?

Esempio:
hping2 -i u1 -I ppp0 -0 -H 2 -t 1 -d 8 -a <ip della macchina tin> 224.0.0.1
iptables -A INPUT -p igmp -j DROP

Vorrei soprattutto sapere se, in via del tutto teorica, un attacco del
genere o altri simili siano possibili.
Ringrazio anticipatamente coloro che chiariranno i miei dubbi,
David Coppa <coffeec@tin.it>
fingerprint = 849F 801C CA74 F451 CB69  EB67 BB3B 92DC E183 7616
finger caffeine@unix-shells.com for the key
// Life is like a Windows box. You never know what bluescreen you're gonna
get

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List