1 / 13

TECNICA DE HACKING SMURF

TECNICA DE HACKING SMURF. Presentado por: Alexander Navarrete P. Luis José Pulido A. Oscar López. Paquetes ICMP. ICMP es una parte integral del protocolo IP (Internet Protocol) y debe ser implementado por cada módulo IP Utilización Un datagrama no puede llegar a su destino

jag
Download Presentation

TECNICA DE HACKING SMURF

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. TECNICA DE HACKING SMURF Presentado por: Alexander Navarrete P. Luis José Pulido A. Oscar López

  2. Paquetes ICMP • ICMP es una parte integral del protocolo IP (Internet Protocol) y debe ser implementado por cada módulo IP Utilización • Un datagrama no puede llegar a su destino • Cuando el gateway no tiene la capacidad para manejar un datagrama específico

  3. Ataque Smurf • Smurf puede causar que la parte atacada de la red se vuelva inoperable • Aprovechamiento del direccionamiento broadcast • Un programa "Smurf" emplea otra técnica de hacking conocida con el nombre de “IP Spoofing” • Usuario con un modem de 28.8 kbps, podría generar un tráfico de (28.8 * 40)kbps o 1552 kbps, cerca de 2/3 de una línea T1

  4. Ataque Smurf - Componentes • El Atacante: persona que crea los paquetes ICMP con la IP fuente falsa y lanza el ataque. • El Intermediario: red amplificadora del paquete ICMP con su direccionamiento broadcast habilitado. • La Víctima: su dirección IP ha sido suplantada para que las respuestas ICMP sean enviadas a ella.

  5. Logs de Smurf - Origen 00:00:05 spoofed.net > 192.168.15.255: icmp: echo request 00:00:05 spoofed.net > 192.168.1.255: icmp: echo request 00:00:05 spoofed.net > 192.168.14.255: icmp: echo request 00:00:05 spoofed.net > 192.168.14.0: icmp: echo request • Varios icmp echo request a diferentes direcciones broadcast • Dirección origen spoofed.net que será la máquina víctima

  6. Logs de Smurf - Víctima %SEC-6-IPACCESSLOGDP: list 169 permit icmp 192.168.45.142 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet %SEC-6-IPACCESSLOGDP: list 169 permit icmp 192.168.45.113 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet %SEC-6-IPACCESSLOGDP: list 169 permit icmp 192.168.212.72 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet %SEC-6-IPACCESSLOGDP: list 169 permit icmp 192.168.132.154 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet • El enrutador registra la llegada de los paquetes icmp echo reply desde el (los) intermediario(s) hacia la víctima

  7. Defensa • Debido a que el ataque es realizado en varios pasos, es necesario hacer la defensa en unos muy similares: • Intermediario • Víctima • Origen

  8. Defensa Intermediario • Deshabilitar dirección IP broadcast • Configurar el sistema operativo para que no responda los ICMP Ejemplo enrutadores CISCO: • no ip directed-broadcast (deshabilita broadcast) • access-list 101 deny ip 0.0.0.0 255.255.255.255 172.16.0.255 0.0.255.0 (bloqueo direcciones IP, redes pequeñas)

  9. Defensa Intermediario • Configurar una dirección estática ARP incorrecta para la dirección broadcast Ejemplo Linux • arp -s 192.0.2.255 00:00:00:00:00:00 • Estos hacen que los paquetes que van dirigidos a una dirección broadcast, vayan a una dirección inexistente

  10. Defensa Víctima • En el momento de inicio del ataque, nada lo puede evitar • Bloquear todos los paquetes ICMP • Comunicarse con el intermediario y cortar la línea de ataque desde allá.

  11. Defensa Origen • Colocar un filtro en el enrutador de la red, el cual bloquee los paquetes que van a salir con una dirección de origen que no le pertenece • En una red con dirección IP 157.253.x.x, un paquete intenta salir con dirección de origen 198.162.1.12, el enrutador lo detecta y no lo deja salir.

  12. Conclusiones • Smurf es un ataque bastante poderoso, y no muy difícil de llevar a cabo • Cuando se presenta un ataque Smurf no solo la víctima puede sufrir de DoS, el intermediario se puede ver afectado. • Es importante establecer mecanismos de seguridad para contrarrestar el ataque y son particulares dependiendo la tecnología que utilice la organización. • Las decisiones que se tomen para implantar seguridad en la red, pueden privar de ciertas ventajas al administrador y/o usuarios de ésta, pero es más alto el costo si la red cae bajo un ataque de Smurf.

  13. Referencias • http://www.whatis.com • Computer networks / Andrew S. Tanenbaum. • RFC 0792, Internet Control Message Protocol • http://www.time.com/time/digital/daily/0,2822,38899,00.html - 12-02-2001 • http://canada.cnet.com/news/0-1003-200-327506.html - 06-02-2001 • http://security-archive.merton.ox.ac.uk/CERT/007.htm • http://www.nordu.net/articles/smurf.html • http://www.ln.net/assoc/policies/smurf.html • http://moskva-gw.cccpnet.gov.ussr.net/~illodius/html/smurf.html • http://www.inet-one.com/cypherpunks/dir.1999.06.28-1999.07.04/msg00076.html • http://www.ee.siue.edu/~rwalden/networking/icmpmess.html • http://www.freesoft.org/CIE/RFC/792/index.htm • http://www.cert.org/advisories/CA-1998-01.html - 10-02-2001 • http://download.networkice.com/Advice/Exploits/IP/smurf/Amplifier_Defense/default.htm - 10-02-2001 • http://www.iops.org/Documents/smurf-faq.html - 10-02-2001 • http://www.kbeta.com/SecurityTips/Checklists/Cisco%20Packet%20Floods.htm#2d 05-06-2001 • http://www.sans.org/newlook/resources/IDFAQ/traffic.htm 08-06-2001

More Related