Smurf

SMURF

L'attacco Smurf e le protezioni contro di esso sono di interesse solo per gli operatori e gli amministratori di sistema.
Conosciuto anche come "Entire Internet Pinh Attack" o "IP broadcast floods" è un attacco di grande imapatto, che causa lag (latenza) ad intere porzioni di rete internet, dato che mette in gioco diverse macchine su indirizzi differenti, ognuna delle quali genera autonomamente una trasmissione di pacchetti.
In questo caso la potenza dell'attacco non risisede tanto nella banda a disposizione dell'aggressore, ma negli "aiutanti" di cui esso dispone.
Per capire meglio la meccanica dello Smurf, esaminiamo il processo che determina l'attacco. Per prima cosa l'aggressore rileva l'indirizzo da attaccare e ricerca una serie di "aiutanti", ovvero macchine presenti in rete che lo aiuteranno involontariamente nel suo tentativo.
La fase successiva consiste nell'inviare dei pacchetti di ping spoofati, ovvero che recano come indirizzo del mandante non quello dell'aggressore, ma quello della vittima.
Il ping al'indirizzo di broadcast della rete costringe tutti gli host a rispondere contemporaneamente con una serie di icmp echo reply verso l'indirizzo della vittima, letteralmente travolgendola con una "inondazione" di ping.

come difendersi;

Gli utilizzatori di questi attacchi contano sull'abilità nello spoofing dei pacchetti sorgenti diretti agli "aiutanti", in modo da costringerli a generare un traffico in grado di causare un denial of service sulla macchina che subisce l'aggressione. Per avere le dimensioni del traffico che potrebe essere generato, pensiamo ad una LAN ETHERNET a 10 Mbit/sec di 200 Host: se tutti gli host venissero utilizzati come aiutanti, si avrebbe un flusso di dati verso l'obbiettivo a piu' di 80 Mbit/sec e 35 Kpps (cioe' pps=pacchetti per secondo).
Non esiste un metodo semplice per bloccare lo smurf, dato che non e' un semplice flood che un qualsiasi Firewall potrebbe intercettare nè esistono patch che possano rtendere immune il sistema operativo.
Le uniche protezioni sono situate d un livello superiore, sui roter che possono filtrare il traffico e bloccare i pacchetti "spoofati".
Attivando la direttiva "drop source information", il router è in grado di ignorare quei pacchetti nel cui header l'indirizz IP del sorgente (cioe0 chi sta relamente spedendo i ping) non corrisponda a quello del destinatariodelle ripsoste. in questo modo viene spezzata la catena degli smurf, dato che il router non lascia passare i ping verso l'indirizzo di broadcast della rete, impedendo quindi la generazione degli icmp echo.