OVH Community, your new community space.

[ Smurf attack ] prevent


natran
13.03.2009, 07.31
Un attacco smurf si compone di tre "parti": colui che lancia l'attacco, il c.d. "man in the middle", e la vittima.
L'intento quello di inondare la vittima con pacchetti ICMP, intasando la larghezza di banda della rete, o di esaurire la sua quota di larghezza di banda presso il suo ISP. Il motivo di usare il "man in the middle" che l'attaccante non pu essere identificato come la fonte di tale attacco.
I pacchetti ICMP vengono inviati al "man in the middle", che risponde ad ognuno con l'invio di un ICMP "echo-response" alla vittima. La vittima, ovviamente, non ha mai chiesto di questi pacchetti, ma non ha alcun modo per bloccarne l'incessante entrata.
Anche se si esamina il log del pacchetto, non si pu trovare l'indirizzo IP dell'attacker , in quanto l'attaccante ha contraffatto i pacchetti (spoofed packets).
Vi una difesa contro l'attacco smurf: limitare la frequenza dei pacchetti ICMP in arrivo.
Quando il traffico ICMP legittimo molto bassa la larghezza di banda usata.
E per altri tipi di traffico ICMP-response - come nel caso in cui il router comunica con la scheda di rete su questioni di routing - sempre pochi pacchetti sono necessari, non l'"alluvione" che rappresenta un attacco smurf.
Ecco come montare una difesa utilizzando iptables:

Codice:
# Allow most ICMP packets to be received (so people can check our
# presence), but restrict the flow to avoid ping flood attacks
iptables -A INPUT -p icmp -m icmp --icmp-type address-mask-request -j DROP
iptables -A INPUT -p icmp -m icmp --icmp-type timestamp-request -j DROP
iptables -A INPUT -p icmp -m icmp -m limit --limit 1/second -j ACCEPT
Qui limite traffico ICMP settato ad un pacchetto al secondo.
Se si desidera ancora meno, aumentare il limite.