Zello ha ragione, la pericolosità di uno smurf è molto semplice: sfrutta le basi di un attacco DoS, ma diventa letale solo in reti con apparati che operano su Layer 2 ed inferiori. Cosa significa?
Bè se io ho un router Cysco a gestirmi una porzione di rete, un attacco smurf non fa altro che chiedere l'aiuto di tanti altri host, spoofando l'IP del mandante (aggressor) e trasformandolo nell'IP della vittima.
Se io però sul mio bel routerino mettessi settaggi ad hoc, controllando l'indirizzo dell'intestatario del pacchetto rispetto alla tabella di routing, per assicurare che il percorso di ritorno del pacchetto avvenga attraverso l'interfaccia su cui era stato ricevuto, allora l'attaccante si ritroverà con un pugno di mosche, lo capite da soli il perchè no?
Cisco ha aggiunto questa possibilità all'attuale 11.1CC branch, usato da molti NSP, in un comando di interfaccia: '[no] ip verify unicast reverse-path'.
Stessa cosa per un attacco fraggle, in pratica uno smurf che invece di richiedere tanti ICMP echo replay, chiama in casa l'UDP replay.
Altra variazione al tema dello spoofing è l'ormai sempre più usato, ma solo da chi è in gamba direi, Man in the Middle.
Questo attacco fa affidamento su un router che serve una grande rete broadcast multiaccesso per formare un indirizzo IP broadcast (come 10.255.255.255) in un frame broadcast di layer 2.RFC 1812, "Requirements for IP Version 4 Routers", sezione 5.3.5, specifica:
Un router PUO' avere un'opzione per disabilitare broadcast diretti a prefisso di rete (network-prefix-directed broadcast) in ingresso su un'interfaccia e DEVE avere un'opzione per disabilitare broadcast diretti a prefisso di rete (network-prefix-directed brooadcasts) in uscita. Queste regole non devono impedire di ricevere e spedire broadcasts diretti a prefisso di rete.
Generalmente con applicazioni IP come quelle di oggi questo comportamento non è necessario e ci si raccomanda che il broadcast diretto sia disabilitato per impedire gli effetti di questo attacco.
Una NIC Ethernet (Hardware livello-MAC) ascolterà solo un numero selezionato di indirizzi in una normale operazione. Il primo indirizzo MAC, che tutte le macchine hanno in comune in una normale operazione è il broadcast di comunicazione, o FF:FF:FF:FF:FF:FF. Se una macchina riceve un pacchetto destinato a un indirizzo broadcast link-layer, prenderà il pacchetto e manderà un interrupt per processarlo tramite le procedure di layer più alto.
Per fermare un router Cisco dal convertire i broadcasts di layer 3 in broadcast di layer 2, si usa il comando di configurazione di interfaccia "no ip directed broadcast". Questo deve essere configurato su ogni interfaccia di tutti i router.
Come per una versione 12.0 IOS Cisco, la "no ip directed-broadcast" è la norma, in modo da proteggere le reti di default, l' "ip directed-brodcast" sarà necessario se la rete ha bisogno di broadcasts diretti per essere abilitatata.
Maremma che sonno che tengo...
...notteeee