Text 3579, 59 rader
Skriven 1999-05-19 01:06:16 av Magnus Karlsson (2:204/254.23)
   Kommentar till text 3436 av David Henningsson (2:200/486.20)
Ärende: Cracking                        
========================================
 DH> Du menar att den som vill skicka ut ett "smurfping" hittar på en
 DH> adress (slumpvald), och sedan påstår den att pinget kommer
 DH> därifrån?

S k smurfping (det finns en anledning till varför det kallas så,
men den har jag tydligen behagat glömma) är en denial of service-
attack. Man fejkar helt enkelt pingpaketets header så att det
ser ut att komma från den IP-adress som datorn man vill attackera
har. Sedan väljer man ut ett någorlunda stort nät med någorlunda
snabb uppkoppling och matar iväg så många fejkade paket som man
bara kan till detta näts broadcastadress. Resultatet av detta
blir att alla datorer som är uppe på det nätet kommer att svara
på ping till den fejkade adressen och det nätet kommer att pumpa
ut ping till den stackars mottagardatorn i den takt dess 
internetanslutning förmår, och sedan kommer offrets dators
nätkoppel att fullkomligt dränkas i ping förutsatt att de inte
passerat en flaskhals på vägen. Att nätet som fungerar som 
förstärkare blir totalt oanvändbart är bara en bieffekt.

När studentnätverket här i Linköping var utsatt för att vara
förstärkare för en smurfpingattack innebar det i runda tal
att det från vårt håll pumpades ut ping i minst 40 Mbit/s
till de maskiner som var offer för attacken. Så mycket kom
förmodligen aldrig fram till någon av de många maskiner som
attackerades, men i de flesta fall säkert tillräckligt för
att göra deras nätanslutningar oanvändbara. Många av offren
var PPP-adresser, så min gissning är att idioten höll till på
IRC och attackerade de han tyckte illa om. Jag bjuder gärna
på ett nackskott om ni får tag i den skyldige.

 MK>> Om du inte menar den riktiga adressen utan den som
 MK>> pingpaketet påstår att det kommer ifrån, så är det klart att 
 MK>> det ju går men IMHO är det en ännu fulare lösning än att 
 MK>> blockera all ping. Dessutom blir det _stora_ mängder data 
 MK>> att analysera.

 DH> Varför skulle den lösningen vara fulare?

Nu kommer jag inte riktigt ihåg vad alternativet var. :) Var det
att analysera paketens mottagaradresser och jämföra med en
lista för att spärra vissa paket? Det är väl mest en estetisk
fråga och jag tycker att den är klumpig och löser dessutom
inte mycket. Det man får ut av ett pingpaket från en smurfpingattack
är offrets IP-adress. Oftast attackeras inte samma maskin annat
än vid ett enstaka tillfälle. Denna lista måste dessutom hållas
efter för att vara meningsfull. Många attacker riktades mot
dialup-adresser från ISP:er med dynamisk tilldelning av adresser,
vilket gör att spärren snart drabbar någon annan än man tänkt
sig.

IMHO borde detta lösas genom att datorena på nätverket inte svarar
på broadcast-paket över huvud taget om de inte kommer inifrån det
egna nätet.

Annars föredrar jag nackskottmetoden. Snabb, enkel och estetiskt
tilltalande. ;)

--- FEddi 0.9pl7 via ifcico
 * Origin: Does fuzzy logic tickle? (2:204/254.23)