TECNICA DE HACKING
SMURF
Presentado por:
Alexander Navarrete P.
Luis José Pulido A.
Oscar López
Paquetes ICMP
• ICMP es una parte integral del protocolo IP
(Internet Protocol) y debe ser implementado
por cada módulo IP
Utilización
• Un datagrama no puede llegar a su destino
• Cuando el gateway no tiene la capacidad
para manejar un datagrama específico
Ataque Smurf
• Smurf puede causar que la parte atacada de
la red se vuelva inoperable
• Aprovechamiento del direccionamiento
broadcast
• Un programa "Smurf" emplea otra técnica
de hacking conocida con el nombre de “IP
Spoofing”
• Usuario con un modem de 28.8 kbps, podría
generar un tráfico de (28.8 * 40)kbps o
1552 kbps, cerca de 2/3 de una línea T1
Ataque Smurf - Componentes
• El Atacante: persona que crea los paquetes
ICMP con la IP fuente falsa y lanza el
ataque.
• El Intermediario: red amplificadora del
paquete ICMP con su direccionamiento
broadcast habilitado.
• La Víctima: su dirección IP ha sido
suplantada para que las respuestas ICMP
sean enviadas a ella.
Logs de Smurf - Origen
00:00:05
00:00:05
00:00:05
00:00:05
spoofed.net
spoofed.net
spoofed.net
spoofed.net
>
>
>
>
192.168.15.255:
192.168.1.255:
192.168.14.255:
192.168.14.0:
icmp:
icmp:
icmp:
icmp:
echo
echo
echo
echo
• Varios icmp echo request a diferentes
direcciones broadcast
• Dirección origen spoofed.net que será la
máquina víctima
request
request
request
request
Logs de Smurf - Víctima
%SEC-6-IPACCESSLOGDP:
list
169
permit
icmp
192.168.45.142
(Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP:
list
169
permit
icmp
192.168.45.113
(Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP:
list
169
permit
icmp
192.168.212.72
(Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 permit icmp 192.168.132.154
(Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
• El enrutador registra la llegada de los paquetes icmp
echo reply desde el (los) intermediario(s) hacia la
víctima
Defensa
• Debido a que el ataque es realizado en
varios pasos, es necesario hacer la defensa
en unos muy similares:
– Intermediario
– Víctima
– Origen
Defensa Intermediario
• Deshabilitar dirección IP broadcast
• Configurar el sistema operativo para que no
responda los ICMP
Ejemplo enrutadores CISCO:
– no ip directed-broadcast (deshabilita
broadcast)
– access-list 101 deny ip 0.0.0.0 255.255.255.255
172.16.0.255 0.0.255.0 (bloqueo direcciones IP,
redes pequeñas)
Defensa Intermediario
• Configurar una dirección estática ARP
incorrecta para la dirección broadcast
Ejemplo Linux
– arp -s 192.0.2.255 00:00:00:00:00:00
• Estos hacen que los paquetes que van
dirigidos a una dirección broadcast, vayan a
una dirección inexistente
Defensa Víctima
• En el momento de inicio del ataque, nada lo
puede evitar
• Bloquear todos los paquetes ICMP
• Comunicarse con el intermediario y cortar
la línea de ataque desde allá.
Defensa Origen
• Colocar un filtro en el enrutador de la red,
el cual bloquee los paquetes que van a salir
con una dirección de origen que no le
pertenece
• En una red con dirección IP 157.253.x.x, un
paquete intenta salir con dirección de origen
198.162.1.12, el enrutador lo detecta y no lo
deja salir.
Conclusiones
• Smurf es un ataque bastante poderoso, y no muy difícil de
llevar a cabo
• Cuando se presenta un ataque Smurf no solo la víctima
puede sufrir de DoS, el intermediario se puede ver afectado.
• Es importante establecer mecanismos de seguridad para
contrarrestar el ataque y son particulares dependiendo la
tecnología que utilice la organización.
• Las decisiones que se tomen para implantar seguridad en la
red, pueden privar de ciertas ventajas al administrador y/o
usuarios de ésta, pero es más alto el costo si la red cae bajo
un ataque de Smurf.
Referencias
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
http://www.whatis.com
Computer networks / Andrew S. Tanenbaum.
RFC 0792, Internet Control Message Protocol
http://www.time.com/time/digital/daily/0,2822,38899,00.html - 12-02-2001
http://canada.cnet.com/news/0-1003-200-327506.html - 06-02-2001
http://security-archive.merton.ox.ac.uk/CERT/007.htm
http://www.nordu.net/articles/smurf.html
http://www.ln.net/assoc/policies/smurf.html
http://moskva-gw.cccpnet.gov.ussr.net/~illodius/html/smurf.html
http://www.inet-one.com/cypherpunks/dir.1999.06.28-1999.07.04/msg00076.html
http://www.ee.siue.edu/~rwalden/networking/icmpmess.html
http://www.freesoft.org/CIE/RFC/792/index.htm
http://www.cert.org/advisories/CA-1998-01.html - 10-02-2001
http://download.networkice.com/Advice/Exploits/IP/smurf/Amplifier_Defense/default.htm - 10-022001
http://www.iops.org/Documents/smurf-faq.html - 10-02-2001
http://www.kbeta.com/SecurityTips/Checklists/Cisco%20Packet%20Floods.htm#2d 05-06-2001
http://www.sans.org/newlook/resources/IDFAQ/traffic.htm 08-06-2001
Descargar

TECNICA DE HACKING SMURF