Re: Smurf, la piaga della rete?

----- Original Message -----
From: "Esp" <esp@alieni.org>
To: <ml@sikurezza.org>
Sent: Wednesday, July 11, 2001 3:08 PM
Subject: Re: Smurf, la piaga della rete?


> On Sunday 08 July 2001 12:35 pm, you wrote:
> > La mia domanda è questa, a parte l'ovvia ma poco efficace soluzione di
> > mettere gli ICMP echo in deny, ci si puo' in qualche modo proteggere da
> > questo DOS ?
>
> I metodi sono sufficienti per attacchi fino ad una certa dimensione
> e la difesa è tramite regole di antispoofing sui router e come dici
> ICMP echo deny.

Sicuramente, anche se come già detto ci fai ben poco :-)
Secondo me un potrezione valida dovrebbe essere implementata nei nodi "core"
che i pacchetti attraversano per arrivare alla vittima.
Mi spiego meglio (se ci riesco) : come tutti ben sappiamo la rete altro non
è che tanti bei piccoli devices che attraverso protocolli di routing di
vario genere si "mettono d'accordo" sulla strada da fare per inviare dati
(ospf, bgp etc. etc. etc.)
Ora secondo me basterebbe implementare un procotollo, che nel caso il mio
router "si senta attaccato", inivii una sorta di "denuncia" che di router in
router si propaga verso quello che detiene la net da cui proviene l'attacco
al fine di bloccarlo.

Naturalmente sottoscrivo il discorso di Antirez sulla sensibilizzazione dei
sistemisti che gestiscono le varie net sparse per il mondo, se lo smurf è
possibile è anche grazie a loro :-P

Purtroppo come molti sanno l'IPv4 è un protocollo ormai obsoleto, nato per
fare cose diverse da quelle che fa oggi. Quindi non ci lamentiamo se è un pò
bacatello, è la filosofia con cui è stato cresciuto che permette tutto
questo.

> Alcuni Firewall come ad esempio il commerciale Firewall-1 della
> CheckPoint permettono di settare il FW con regole
> di SYNdefender. ma pur con macchine robuste tiene fino ad un certo punto.
>
> Il limite dell'IPv4 non pone soluzioni facili al problema....anzi....da un
> attacco ben condotto e distribuiti da più macchine con varia banda,
> niente può reggere (yahoo e company sono l'esempio)
>
> >
> > C'e' un modo per risalire alla macchina che ha iniziato la catena ?
>
> Al max puoi arrivare alle macchine che stanno rispondendo ad un
> broadcast, ma il ping di partenza è spoofato.....

Bha per me sono tutte congetture, data la probabilità con la quale puoi
risalire all'attacco....meglio lasciar perdere.
piuttosto sarebbe consigliabile (nella mia mente perversa) di creare una
sorta di "contrattacco" verso la net che ci pacchetta, ma è una soluzione
controproducente ed è dipendente dalla banda a nostra disposizione.


>
> > Possibile che ci siano macchine come www.microsoft.com che siano degli
> > smurf amplifiers?
>
> Purtroppo basta dimenticarsi un paio di righe nei router per far
rispondere
> la sub (no ip direct broadcast)
> e la fretta di metter su un nuovo servizio può esser cattiva consigliera
>
> Chi ha da aggiungere/commentare ben venga :)
>
> Esp
>
> --
> ------------------------------------------------------------------
> --| Da quando uso Windows la stitichezza non è più un problema |--
>  Esp mailto:esp@alieni.org
> Digital Graphics Emotions
> http://www.alieni.org
> Echelon Key: hacking war kill bomb atomic terrorist anarchy
> ------------------------------------------------------------------
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
>

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List