Re: Smurf, la piaga della rete?

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Luglio 2001 ml@sikurezza.org
Soggetto: Re: Smurf, la piaga della rete?
Mittente: Diego Tironi
Data: 15 Jul 2001 01:08:08 -0000

 > Invece e' MOLTO rilevante, in un caso (smurf) il fattore di
amplificazione
> rende possibile per chiunque con un modem 56k e una buona broadcast
list far
> saltare un sito con un link di upstream meno che poderoso. Nell'altro
caso

la stessa cosa vale per il dnsflood (se il link e' meno che poderoso)
Ok, sono d'accordo con te se affermi che lo smurf e' potenzialmente piu'
pericoloso
perche' consente un flood ratio piu' elevato, anche se la situazione
negli ultimi
tempi sembra migliorata; trovare broadcast address che rispondono
con un numero elevato di reply e' sempre piu' difficile.

> si parla di flooding che comunque deve provenire da un certo numero di
> postazioni "bucate" su linee non malvagie.

anche gli smurf possono provenire da un certo numero di macchine
bucate su linee non malvage.

> C'e' una differenza enorme nel livello tecnico richiesto per le due
cose, e

a me sembra che l'unica differenza, dal punto di vista dello script
kiddie che
si diverte con ste cose, sia quella di lanciare un binario piuttosto che
un altro.
(considerando che ci sono parecchi exploit pubblici in the wild, e molti
in lista
lo sanno bene, visto che ne sono gli autori :-)

> c'e' anche una enorme differenza nella difficolta' di rintuzzare i due
> attacchi (nel secondo caso si tratta di 5-10 shell da far chiudere,
nel
> primo di 500-1000 subnet che fanno da amplificatore).

fra 10 shell che mandano pacchetti spoofati e 1000 subnet che
mandano echo reply e' difficile dire quali e' possibile far
chiudere/smettere
per primi.
Fermo restando che gli echo reply il tuo uplink li puo' filtrare piu'
agevolmente.
Cmq la cosa piu' difficile mi sembra convincere centinaia di migliaia
(milioni?)
di dns server a non accettare query ricorsive dall'esterno.

--
Diego Tironi - diegotironi@katamail.com - Bergamo
Computer Science Student - Milan University
PGP DH/DSS Key ID: 0x0F752EF8
Fingerprint: 36BF 20FB 45D7 165E 5041  6E4E 79F5 97CE 0F75 2EF8
Veritas vos liberabit


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: Re: e se mi hackano il server?, Fabio Pietrosanti (naif)
- successivo: Re: log e password di inWind sul web, Francesco Trentini
- indice

Argomento:
- precedente: Re: Smurf, la piaga della rete?, Raptor
- successivo: TFTP/Alcatel Speed Touch Pro, Peter Thalmann
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005