Форум АНТИЧАТ - Smurf атака

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Болталка (https://forum.antichat.xyz/forumdisplay.php?f=46)

- - Smurf атака (https://forum.antichat.xyz/showthread.php?t=165519)

Smurf атака

Тут почитал про этот вид атаки (типа DoS) и скажу, что впечатлило :)
Только вот не знаю щас этот вид актуально в современных сетях ? (ну скажем где НЕТ интелектуальных IDS, firewall)
Кто небудь использоет или хотяб использовал этот способ?
Интересно ваши мнение.

очень даже актуальна и широко используется. это, что называется - хорошо забытое старое. и для своих целей она хорошо используется. только не имеет ничего общего с понятием ддоса, котоое принято иметь ввиду среди большинства населения ачата.
Для тех, кому тоже захотелось надавать ТСу по зубам (утрирую) за отсутствие ссылки:

Цитата:

Атака SMURF относится экспертами к наиболее опасной разновидности атаки DoS, поскольку имеет эффект усиления, являющийся результатом отправки прямых широковещательных запросов рing к системам, которые обязаны послать ответ.

Запрос направляется либо на сетевой адрес, либо по адресу широковещательной рассылки, но в любом случае устройство должно выполнить преобразование уровня 3 (IР) к уровню 2 (сетевой), как этого требует RFС 1812 "Requirements foг IР Version 4 Routers" (Требования к маршрутизаторам протокола IР вер- сии 4). В стандартной сети класса С (24-разрядное выделение адресов) сетевым адресом будет .0, а адресом широковещательной рассылки – .255. Прямая широковещательная рассылка обычно служит для диагностики, позволяя выявить работающие системы без запроса по рing каждого адреса из диапазона. Атака smurf пользуется особенностями прямой широковещательной рассылки и требует как минимум трех участников: атакующий, усиливающая сеть и жертва.

Атакующий посылает мистифицированный пакет IСМР ЕСНО по адресу широковещательной рассылки усиливающей сети. Адрес источника этого пакета заменяется адресом жертвы, чтобы представить дело так, будто именно целевая система инициировала запрос. После этого происходит следующее - поскольку пакет ЕСНО послан по широковещательному адресу, все системы усиливающей сети возвращают жертве свои ответы (если только конфигурация не определяет другого поведения). Послав один пакет IСМР в сеть из 100 систем, атакующий инициирует усиление атаки DoS в сто раз! Козффициент усиаения зависит от состава сети, поэтому атакующий ищет большую сеть, способную полностью подавить работу системы-жертвы, В данной статье можно рассмотреть следующий пример: предположим, что атакующий послал 14 Кбайт непрерывного трафика IСМР на широковещательный адрес усиливающей сети, содержащей 100 систем. Сеть атакующего подключена к Интернету двухканальным соединением ISDN, усиливающая сеть – линией ТЗ со скоростью обмена 45 Мбит/с, а сеть-жертва – линией Т1 (1.544 Мбит/с). Подсчет показывает, что атакующий может сгенерировать трафик 14 Мбит/с в целевой сети, у которой практически не останется шансов продолжить нормальную работу, поскольку будет полностью занята вся полоса пропускания линии Т1.

Одним из вариантов атаки является fraggle (осколочная граната). Эта атака базируется на smurf, но использует пакеты UDР вместо ICМР. Атакующий посылает обманные пакеты UDР по адресу широковещательной рассылки усиливающей сети, обычно на порт 7 (эхо). Каждая система сети, в которой разрешен ответ на эхо-пакеты, возвратит пакеты системе-жертве, в результате чего будет сгенерирован большой объем трафика, Если в системах усиливающей сети запрещены эхо-ответы, системы будут генерировать сообщения IСМР о недостижимости, и полоса пропускания все равно будет захватываться ненужным трафиком.

Специалисты по сетевой безопасности рекомендуют предпринять следующие контрмеры: чтобы предотвратить эффект усиления позволит запрет операций прямой широковещательной рассылки на всех граничных маршрутизаторах. Дополнительно можно установить в операционной системе режим "тихого" отброса широковещательных эхо-пакетов IСМР.

Ну я так понимаю - в этом виде атак принимается типа "отражене эха" , да ? то есть достаточно запросов посылать нескоьлко пользователям и через несколько секунд все начнут псылать друг другу ICMP пакеты и получится ping of dead ..
я парвильно думаю?
И не ужели свичи, обычные маршрутизаторы не могут "понимть" это?

Цитата:

Я тебя не понял....

Получается так что в пинг пакете ты заменяешь адрес ответа и посылаешь этот пакет на 1000 компов, потом эти 1000 компов ответят на адрес которым ты заменил свой.
Все врубился вто что ты писал =) ты описал прогресс атаку =) которая будет продолжатся без твоего участия =) (сложна в реализации + требует спец настроек серверов для 100% удачи)

а где наш Cthulchu ? может он все таки расскажет как это реализовать ?

gold-goblin

все таки получается всем компам одновременно надо отправить Ping с поддельным адрес ответа ?

атаки land и smurf блокируются и провайдерами и маршрутизаторами Dlink 3Com LevelOne не говоря уже о Cisco.

... все админы думаю подтвердят что НЕ ИДЕТ ИЗ ВНЕШНЕЙ СЕТИ широковещательного трафика! Land также режется ....

а использовать в локалке smurf ... возможно только смысл? Простая arp-poison атак даст в 100-крат лучший результат! И реализации не нужно искать все знают CAin (полное ослепление оглухление компа)

Цитата:

все таки получается всем компам одновременно надо отправить Ping

В этом и прелесь широковещательной сети =) Ты шлешь 1 пинг а в ответ получаешь 200 (к примеру)

gold-goblin приветик! 8)

... ты хоть раз видел широковещательный UDP приходящий из интернета?

... лет 5-ть уже никто не видел 8)) .... если бы провайдеры разрешили ходить в сети таким пакетам ... они умерли бы на счет ОДЫН ДВА!

а широковещательные ICMP вообще динозавры!

Так что smurf - ИСТОРИЯ !!!

Как бы Капитан Очевидность подсказывает: https://forum.antichat.ru/showthread.php?t=10918

Заметьте, уже в этом топике (2005 год) в комментах пишут о неактуальности атаки.
О чём же может идти речь почти 5 лет спустя?

я и не говорю что актуально... Я объясняю человеку про этот вид атаки.