blogg-vitalika.ru

  

Bästa artiklarna:

  
Main / Hur man utför exempel på smurfattacker

Hur man utför exempel på smurfattack

Hoppa till innehåll. Dela omedelbart kod, anteckningar och utdrag. Kodversioner 1 Stjärnor 5 gafflar 2. Bädda in Vad vill du göra? Bädda in Bädda in den här kärnan på din webbplats. Dela Kopiera delbar länk för den här kärnan. Läs mer om klon-webbadresser. Ladda ner ZIP. Den har en lista över sändningsadresser som den lagrar i en matris och skickar en falsk icmp-ekoförfrågan till var och en av dessa adresser i serie och startar igen. Resultatet är en avvikande attack mot den förfalskade ip med beroende på hur många sändningsadresser som används, många, många datorer som svarar på ekoförfrågan.

Innan jag fortsätter får jag först säga att den här koden var ett misstag. När det skrevs var jag inte medveten om det faktum att a världen skulle få tag på det och b det skulle ha en så destruktiv effekt på datorerna som används för att översvämma. Min okunnighet är mitt misstag. Nu när det är klart, hur skyddar du ditt nätverk? Tyvärr är jag inte säker på hur eller ens om det är möjligt att skydda dig från att bli träffad med den, såvida du inte vill förneka all inkommande ICMP-trafik vid routern som inte är den bästa lösningen eftersom den ger andra användbara konstigheter som ping och traceroute oanvändbar.

För att förhindra att ditt nätverk används för att översvämma förbrukar nästan hela din bandbredd, vilket skapar en förnekelse av tjänsten på dig själv. Om du filtrerar all inkommande ICMP-trafik till sändningsadressen på routern svarar ingen av maskinerna därför kommer attacken inte arbete. Detta kan göras med en rad i routern, och jag tror att en rep från texas. Jag tror att MCI för närvarande arbetar med en lapp eller en dektektor av något slag för den, som finns på http: Missa inte detta.

Konstigt, verkligen. Så varför skrev jag det? Huegen chuegen quadrunner. Fre 10 oktober 12: Det är viktigt att dessa attacker minimeras, och kommunikation är det enda sättet att hjälpa till med detta. Informationen här ger djupgående information om "smurf" -attacker, med fokus på Cisco-routrar och hur man kan minska effekterna av attacken.

Viss information är allmän och inte relaterad till en organisations särskilda leverantör. det är dock skrivet med en Cisco router fokus. Ingen bekräftelse har gjorts för effekterna på andra leverantörers utrustning. andra har dock gett mig information till olika leverantörer, som finns i dokumentet. Se avsnittet "Bekräftelser" nedan för källor och kontaktinformation.

Jag tar gärna emot information från andra kollegor som är villiga att ge information om andra leverantörers produkter i samband med detta ämne. Det här dokumentet uppdateras alltid eftersom jag får mer information om attacker och arbetar med sätt att minimera påverkan. "Smurf" -attacken, uppkallad efter dess exploateringsprogram, är den senaste i kategorin attacker på nätverksnivå mot värdar.

En förövare skickar en stor mängd ICMP-ekotingtrafik till sändningsadresser, alla har en falsk källadress till ett offer. Om routningsenheten som levererar trafik till dessa sändningsadresser utför sändningsfunktionen för IP-sändning till lager 2 som anges nedan, kommer de flesta värdar på det IP-nätverket att ta ICMP-ekobegäran och svara på den med ett ekosvar vardera, multiplicera trafiken med antalet värdar svarar.

På ett sändningsnätverk med flera åtkomst kan det finnas hundratals maskiner att svara på varje paket. Det finns två parter som skadas av denna attack ... Offret är målet för en stor mängd trafik som studsar genererar. Låt oss titta på scenariot för att måla en bild av den attackens farliga natur.

Antag att ett samplaceringsväxlat nätverk med 100 värdar och att angriparen har en T1. Dessa ping-paket träffar bounce-webbplatsens sändningsnätverk med 100 värdar; var och en av dem tar paketet och svarar på det och skapar 100 ping-svar utgående. Om du multiplicerar bandbredden ser du att 76.

Detta skickas sedan till offret den förfalskade källan till de ursprungliga paketen. Förövarna av dessa attacker förlitar sig på förmågan att skaffa förfalskade paket till "avvisningsplatserna" för att generera den trafik som orsakar förnekandet av tjänsten.

För att stoppa detta bör alla nätverk filtrera antingen vid kanten av nätverket där kunderna ansluter åtkomstlager eller vid kanten av nätverket med anslutningar till uppströmsleverantörerna. Denna attack är beroende av att routern betjänar ett stort sändningsnätverk för flera åtkomst för att rama in en IP-sändningsadress som 10.

Eftersom det i några få utvalda fall är önskvärt och det inte har visat sig vara oönskat utom i de senaste DoS-attackerna, har de flesta leverantörer valt att genomföra detta beteende. I allmänhet, med IP-leverantörer och Internet som vi känner det idag, bör detta beteende inte behövas. Redaktörens anmärkning: Jag välkomnar andra exempel där detta behövs i dagens nätverk - se nedan för ett enda exempel jag känner till.

Ethernet NIC-maskinvara MAC-lagerhårdvara, lyssnar specifikt bara på ett valt antal adresser i normal drift. Den ena MAC-adressen som alla enheter delar gemensamt i normal drift är mediasändningen, eller FF: I det här fallet tar en enhet paketet och skickar ett avbrott för bearbetning. För att hindra din Cisco-router från att konvertera dessa lager 3-sändningar till lager 2-sändningar, använd kommandokonfigurationskommandot "no ip riktad-sändning".

Detta bör konfigureras på alla routrar som tillhandahåller dirigering till stora sändningsnätverk med flera åtkomst i allmänhet LAN, med mer än 5-10 enheter. Ingen testning har gjorts på multipoint ramrelä; routrar i NBMA-nätverk vidarebefordrar vanligtvis inte sändningar såvida de inte uttryckligen är konfigurerade för att göra det. Punkt-till-punkt-subgränssnittsmodeller beter sig som många punkt-till-punkt-länkar - igen kommer detta kommando att ha liten effekt och stoppar bara ett av de två svaren.

Annan leverantörsinformation: Daniel Senie dts senie. Kommandosekvensen för att stänga av dem är: Jon Green jcgreen netins. Det finns dock en funktionsförfrågan om att lägga till ett konfigurationsalternativ, och det förväntas vara i BayRS version 12.

Det finns en fallstudie där detta kommer att stoppa avsedda beteenden: Mängden bandbredd och paket per sekund per sekund som kan genereras av denna attack är ganska stor. Därför önskas förmågan att släppa dessa paket vid nätverksgränsen, eller till och med innan det rinner ner i ingångsrören. Cisco-routrar har flera "banor" som paket kan ta för att dirigeras; var och en har varierande grad av overhead. Den långsammaste av dessa är "processbyte".

Detta används när en komplex uppgift krävs för bearbetning av paket. De andra lägena är variationer av en snabb väg - var och en med en uppsättning fördelar och nackdelar. Men de hanteras alla på avbrottsnivå, ingen processnivå krävs för att driva dessa paket. I IOS-versioner hanteras även de senaste, åtkomstlistan förnekas på långsam nivå, eftersom de kräver att ICMP som inte kan nås genereras till den ursprungliga värden. Alla paket skickades automatiskt till processnivån för att hanteras på detta sätt.

Dessa två paket per sekund kommer att användas för att skicka meddelandena "ICMP som inte kan nås via administrativt block". Detta förutsätter att du inte vill logga överträdelserna från åtkomstlistan via nyckelorden "logg" eller "logginmatning". Möjligheten att begränsa "logg-input" -åtkomstlistorader för att lättare logga dessa paket integreras för närvarande; se avsnittet nedan om spårning av falska paketattacker för information om loggning. Filtrering av ICMP-ekosvarpaket som är avsedda för dina högprofilerade maskiner vid ingångsgränssnitten för nätverksgränsroutrarna gör att paketen kan släppas så tidigt som möjligt.

Det betyder dock inte att nätverksåtkomströren inte fylls, eftersom paketen fortfarande kommer ner i röret för att släppas vid routern. Det tar dock bort lasten från systemet som attackeras.

Tänk på att detta också förnekar andra från att kunna pinga från den maskinen svaren kommer aldrig att nå maskinen. För de kunder hos leverantörer som använder Cisco kan detta ge dig en viss hävstång med leverantörernas säkerhetsteam för att spara dina rör genom att filtrera innan trafiken skickas till dig. Ansträngningar pågår för att integrera dessa korrigeringar i de andra större versionerna och filialerna.

Att spåra dessa attacker kan visa sig vara svårt, men är möjligt med samordning och samarbete från leverantörer. Idag är det möjligt att logga paket som passerar eller släpps i en ACL; emellertid skickas alla paket med ACL-alternativen "log" eller "log-input" till processnivå för loggning.

För en stor mängd paket kan detta orsaka överdrivna CPU-problem. Av denna anledning är spårningsattacker via IOS-loggning idag begränsad till antingen lägre bandbreddsattacker som är mindre än 10 000 paket per sekund. Även då kan antalet loggmeddelanden som genereras av routern överbelasta en syslog-server. Den har integrerats i IOS version 11.

Jag kommer att uppdatera den här sidan med versionsnummer eftersom versionerna är integrerade. Lite information om loggning: I senare 11. En formaterad ACL-linje som använder nyckelordet ser ut så här: Punkt-till-punkt-gränssnitt har ingen MAC-adress listad.

10 sep 23: Vi använder den första loggposten för att visa hur vi ska gå härifrån. Härifrån kan du använda "visa ip arp" om det behövs för att bestämma IP-adressen för MAC-adressen och gå till nästa hopp för spårning eller kontakta den nödvändiga kollegan i fallet med en utbytespunkt.

Detta är en hop-by-hop-spårningsmetod. Exempel på "visa ip arp" som används för att hitta nästa hopp: Genom att göra detta kan du spåra falska attacken bakåt.

Även om detta är allmän information om spårning av falska paket, måste det noteras att offren för en smurfattack får paket från den angivna källan i paketen; i.

MCI: s Internet Security-team har satt ihop ett perl-skript som automatiskt kan logga in på dina Cisco-routrar och spåra en falsk attack tillbaka till dess källa.

(с) 2019 blog-vitalika.ru