ICMP
Questo č un attacco di tipo flood (innondazione) che avviene
normalmente mediante l'invio di molti ping, ed č per questo
conosciuto anche come "Ping flood" o "Ping
attack".
I flood si verificano quando un utente invia una quantita' enorme
di pacchetti di dati che attaccano direttamente il winsock.
In pratica il modem viene sovraccaricato, dato che i
pacchetti/ping "inutili" spediti con questo attacco
richiedono al pc preso di mira una risposta di tipo
pingreply/icmp-echo, che rallenta notevolmente la connessione ad
Internet.
Se il flood ha successo e il modem ricevente subisce tutti i
poacchetti icmp il modem e il computer si occuperanno solo di
quei pacchetti; in questo modo il computer non sara' in grado di
rispondere alle richieste di ping da parte del server irc, che
effettua i propri ping per verificare se un utente č in linea.
Il risultato č che il server interpreta la mancata
risposta ai propri ping come una "caduta" per time out
del client irc, e lo disconnette.
Chiaramente l'efficacia del metodo dipende dalla velocita' di
connessione di chi attacca e di chi subisce: per esempio, se la
vittima ha una connessione ISDN e voi un modem 14.4 kil flood
fara' ridere i polli!!!!
come difendersi;
Esistono vari modi per proteggersi da questo tipo di attacco,
vediamoli:
1)Ancora una volta il firewall č la soluzione ottimale.
Semplificando, un firewall filtra i pacchetti che
vengono inviati al computer fermando quelli non
autorizzati. Come abbiamo visto in precedenza, per gli utenti
alle prime armi Conseal puo' essere un abuona soluzione.
2)Un' altra buona soluzione consiste nel connetersi a Internet
utilizzando il proprio shell account, se lo si ha
a disposizione. In questo modo, il
flood non colpirā voi, dall'altra parte del vostro modem a 3.6
K, ma il vostro Provider che
sicuramente ha una connessione piu' veloce e stabile della
vostra. Gli svantaggidi questa soluzione sono
essenzialmente due: in primo luogo non tutti hanno a disposizione
un account fornito di shell sulla macchina del provider e,
inoltre, di solito i provider utilizzano Unix, il che
costringerebbe l'utente ad installare per esempio un client irc
per unix sulla propria shell.
3)Gli operatori di un canale irc posssono renderlo segreto e
"bannare" gli aggressori, forzandoli ad uscire. In
questo modo non solo sarā loro impedito il rientro, ma da fuori
non potranno piu' vedere chi sta nel canale stesso, e quindi
recuperare l'indirizzo ip delle potenziali vittime.
4)Contattare un irc-op (colui che gestisce un server irc), oppure
l'amministratore di sistema di chi usa gli ICMP Flood e cercare
insieme una soluzione.
5)Usare un bouncer (Unix o Windows), che garantisce una specie di
anonimato su Internet. Prendiamo ad esempio una connessione irc:
invece di collegarsi direttamente al server, bisogna prima
connetersi al bouncer e da li al server irc. In questo modo,
l'indirizzo ip del client non sara' quello reale. ma
corrispodera' all'indirizzo della macchina sulla quale e'
installato il bouncer. Ovviamente ogni tentativo di flood non
arrivera' mai alla vittima, ma alla macchina che funge da
riflettore.