|
Smurf
par _SebF
1 -
Le concept
2 - Le fonctionnement
2.1 - Schéma
2.2 - Envoi
2.3 -
Réception sur le réseau
cible A
2.4 -
Réponse du réseau cible A
3 - Les conseils et astuces
4 - Les liens
5 - Les outils
6 - La conclusion
7 - Discussion autour de la
documentation
8 -
Suivi du document
Le concept est d'émettre une trame de type
ICMP à une adresse IP de Broacast
réseau. Cela permettant de s'adresser à plusieurs host simultanément appelé «
Amplificateur ». Le résultat vous multiplie l'attaque par n fois.
L'émetteur envoi une trame Ip du type Icmp à
l'adresse de broacast du réseau cible A. Voici le schéma de l'entête IP avec le
champ «
Type protocol » basé sur 1 octet ainsi que le positionnement du broadcast dans le champs «
Ip Destination » basé sur 4 octets :
Lorsque la trame arrive sur le Lan du réseau cible A, tous les périphériques la
réceptionnent et la considèrent. Cela est dû au fait quelle est destinée à l'adresse IP de
broadcast signifiant « Pour tous le monde ». Ils l'interprètent tous
individuellement comme ci elle leur était directement adressé.
Les périphériques du réseau cible A vont répondre à l'Ip source de la trame reçu
correspondant à la cible B visé. La réponse sera bien sur envoyée n fois
correspondant au nombre d'hôte sur le LAN répondant au broadcast.
Voici une capture de trame réalisée à l'aide de Sniffer Pro 4.70.04 montrant un ping sur l'adresse broadcast du réseau 210.169.164.0/24. Vous pourrez remarquer
les 73 réponses.
2003.09.27 - Capture
Smurf - Netmon.cap (version Network Moniteur 2)
2003.09.27 -
Capture Smurf - SnifferPro.cap (version Sniffer Pro)
Attention, certaine pile IP, tel que celle de Windows, ne répondent pas au
broadcast dû à une désactivation par défaut.
Attention, si vous désirez recevoir les réponses à votre broadcast, l'analyse de
trame ne vous montrera rien du tout si vous utilisez du PAT (Port Address
Translation). Car cette
configuration vous empêchera de réceptionner les réponses du fait que les trames
retours n'auront pas de correspondance avec l'Echo sortant.
-
Vous pourrez multipliez une attaque si vous visez deux réseaux broadcast IP.
Pour cela, vous spécifiez le premier en IP destination et le second en IP
source. L'effet sera ravageur.
-
Vous pouvez utilisez un autre protocole que ICMP comme UDP basé sur le port 7 (echo).
Le principe reste le même, sauf que le nom de l'attaque se nomme alors « Fraggle
».
-
Un article du journal Zdnet
- The White Paper
-
L'information de « CERT Coordination Center
»
-
2003.09.27 - Liste des IP - Smurf.xls représente la liste des blocs d'adresses IP ouverts au Smurf.
-
Pingicmp permet d'envoyer un paquet Icmp très rapidement et bien sûr à des
adresses de Broadcast.
-
Synflood, permet de générer une attaque basé sur le SYN TCP et bien sur à des
adresses de Broadcast.
-
FrameIP, permet de générer des trames IP et à destination d'un Broadcast, vous
ferez ce que vous voulez.
Ce concept permet d'amplifier une attaque et vous aidera à générer le nombre de
trame nécessaire à une liaison de type Dial et xDsl.
Vous pouvez poser toutes vos questions,
vos remarques et vos expériences à propos de l'attaque Smurf. Pour cela,
rendez-vous sur le
Forum "Sécurité".
Le 15 novembre 2003, par _SebF, ajout du schéma de la pseudo entête.
Le 02 octobre 2003, par _SebF, création du document.
|