Re: Smurf, la piaga della rete?

Gianluigi Sisto wrote:

>
>
> C'e' un modo per risalire alla macchina che ha iniziato la catena ?
>

Difficile, fai conto che normalmente il src address che origina la
"riflessione" dai vari indirizzi di broadcast e' solitamente "spoofato".


>
> Possibile che ci siano macchine come www.microsoft.com che siano degli smurf
> amplifiers?
>
> azzurra:~$ ping www.microsoft.com -c 2
> PING www.microsoft.akadns.net (207.46.197.101): 56 data bytes
> 64 bytes from 207.46.197.101: icmp_seq=0 ttl=44 time=220.1 ms
> 64 bytes from 207.46.197.101: icmp_seq=0 ttl=44 time=221.2 ms (DUP!)
> 64 bytes from 207.46.197.101: icmp_seq=0 ttl=44 time=221.8 ms (DUP!)

;~) (!!!!)

ad occhio e' croce e' un errore di configurazione... una considerazione al
volo:
www.microsoft.com e' servito dagli ip (cluster o meno che siano) in rrobin:

[cesko@lambrusco cesko]$ host www.microsoft.com | cut -f4 -d' '

nickname
207.46.197.100
207.46.230.229
207.46.230.219
207.46.230.218
207.46.197.101
207.46.230.229
207.46.230.219
207.46.230.218
207.46.197.101
207.46.197.100


se pingate uno della 207.46.230.0/24 l'icmp viene filtrato, uno della subnet
207.46.197.0/24 vi fa il reply replicato.
Probabilemente un errore sulle policy del border router; cio' getta dubbi anche
sul soft di clustering che probabilmente vuole una connessione sul layer di
trasporto per rimappare la connessione , mentre se gli arriva un pacchetto
"sconnesso" lo mappa a tutti...

tutte le congetture su ms sono ovviamente a carattere didattico e problematico
<grin>.

--
.FT




________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List