ATTACK
WIN NUKE
Win Nuke è stato uno dei primi attacchi del genere Denial of Service comunemente chiamato D.O.S. (nulla a che vedere col sistema operativo piu' famoso) ed è in grado di colpire solo i sistemi Microsoft Windows 95 (grazie Bill) e NT.
In rete questo particolare tipo di Nuke è conosciuto anche con i seguenti nomi:
-"Nuke1"
-"Bluescreen Nuke"
-"nuke OOB"
-"Port 139 attack/nuke"
-"Blue Screen Of Death (Bsod)"
-"Windows OOB Bug"
-"BluNuke"
-"Muerte"
-"NetBios Nuke".
L'attacco avviene normalmente a livello della porta 139 per w95 mentre sull NT a livello della 137, usate per gli Out Of Band (O.O.B.), tramite l'invio di un codice non valido al NetBios di Windows, che causa un "congelamento" del sistema operativo e richiede il reboot.
Normalmente, dopo questo tipo di nuke appare uno schermo blu con l'errore: "Fatal Error", per questo motivo il WinNuke e' conosciuto anche come "Blue Screen Of Death".
Contrariamente a quanto si possa credere per essere nukati non e' necessario essere su IRC, ma basta essere collegati ad Internet.
ICMP
Questo è un attacco di tipo flood (innondazione) che avviene normalmente mediante l'invio di molti ping, ed è per questo conosciuto anche come "Ping flood" o "Ping attack".
I flod si verificano quando un utente invia una quantita' enorme di pacchetti di dati che attaccano direttamente il winsock.
In pratica il modem viene sovraccaricato, dato che i pacchetti/ping "inutili" spediti con questo attacco richiedono al pc preso di mira una risposta di tipo pingreply/icmp-echo, che rallenta notevolmente la connessione ad Internet.
Se il flood ha successo e il modem ricevente subisce tutti i poacchetti icmp il modem e il computer si occuperanno solo di quei pacchetti; in questo modo il computer non sara' in grado di rispondere alle richieste di ping da parte del server irc, che effettua i propri ping per verificare se un utente è in linea.
il risultato è che il server interpreta la mancata risposta ai propri ping come una "caduta" per time out del client irc, e lo disconnette.
Chiaramente l'efficacia del metodo dipende dalla velocita' di connessione di chi attacca e di chi subisce: per esempio, se la vittima ha una connessione ISDN e voi un modem 14.4 kil flood fara' ridere i polli!!!!
Qua una tabellina riassuntiva sulle velocità e sulle conseguenze:
Velocità del Modem attaccante Velocità del Modem ricevente Conseguenze
9.800 Una qualunque nessuna
14.400 14.400 nessuna
28.800 14.400 o inferiore Forse cade per il LAG
28.800 28.800 LAG
28.800 più di 28.800 nessuna
33.600 14.400 o inferiore Cade
33.600 28.800 LAG
33.600 più di 28.800 nessuna
T1,T2 o T3 meno di T1 Cade
T1,T2 o T3 più di T1 Forse cade per il LAG
SSPING
SSping è un tipo di attacco con pacchetti icmp in grado di congelare un computer sotto diversi sistemi operativi.
In pratica e' possibile mandare in crash, forzare il reboot, e in definitiva mandare in blocco un gran numero di sistemi operativimediante l'invio di un ping di certa grandezza da una macchina remota.
La sua semplicità lo rende un'attacco molto diffuso, dato che in in fin dei conti si tratta di un sempice ping, per lanciare il quale basta conoscere l'indirizzo IP della amcchina da assalire.
L'ssping conosciuto anche come "jolt", "ICMP Bug", "Ice Newk", "Ping Of Death" è basato su un codice datato che congela le vecchie implementazioni SysV e Posix e opera principalmente mediante l'invio di una serie di pacchetti ping icmp frammentati (e a volta spoofati cioè con intestazione recante un ip differente da quello della macchian che li ha generati) all'obiettivo, che tenta di rspondere ricostruendo una risposta al ping framentato da 64 k, mandando in crash il sistema operativo.
Il funzionamento di questo attacco è nel contempo semplice e letale, dato che e' in grado di mettere a terra non solo macchine Unix, ma anche Mac, Windows, Netware, router, stamapnti di rete e molto altro ancora.
In pratica, un datagramma IP di 65536 bytes è illegale, nel senso che i computer non permettono il loro invio, ma è posibile ovviare a questo limite creandone uno in modo che il pacchetto sia fragmentato, ovvero diviso in pezzi per la trasmissione.
Quando i frammenti vengono riassemblati viene creato un pacchetto i dimensioni non consentite, inondando il buffer di qualsiasi sistema, causando, a seconda di chi lo riceve, effetti differenti.
Per ovviare a questo tipo di problema, le software house hanno rilasciato le apposite patch(ovvero "pezzi" di codice che vanno a rimpiazzare bachi presenti nei programmi) in tempi ridottissimi: quella per Linux è stata rilasciata dopo tre ore( 2 ore e 35 minuti 10 secondi, per la precisione), e Bill Webb della Telebit assicura che la patch per Netblazer è stata rilasciata in due ore!
Per capire meglio come la meccanica dell'icmp flood bisogna approfondire alcune informazioni di fondo sull'ICMP ECHO (ping): i pacchetti ip, secondo la RFC-791(Request for comments, documentazione redatta dalla Internet Engeneering Task Force), possono essere superiori alla lunghezza di 65,535 (2^16-1) otteti, la quale include anche la lunghezza dell'intestazione (tipicamente 20 otteti se nessuna opzione IP e' specificata). I pacchetti piu' grandi della grandezza massima possono essere maneggiati dallo strato di underlying (MTU) e frammentati in pacchetti piu' piccoli, che vengono riassemblati dal ricevitore (per apparecchiature modello ethernet, l' MTU e' tipicamente 1500).
Una richiesta di icmp echo "vive" nel pachetto IP, che è composto da otto otteti di informazioni di intestazione ICMP (RFC-792), seguito dal numero di dati degli otteti nella richiesta "ping". Da adesso la grandezza massima di informazioni ammessa all'area dei dati è: 65535-20-8=65507 otteti.
Ma cos'e' ce causa il crash della macchina ricevente?
Bisogna notare che e' possibile inviare un pacchetto illegale con piu' di 65507 oteti di dati grazie al mecanismo di ricostruzione dei pacchetti, che fa affidamento su un valore di offset in ciscun frammento per determinare il punto in cui il frammento individualevga riassemblato. In questo modo, sull'ultimo frammento, è possibile combinare un offset valido con un frammento di grandezza superiore a 65535 (offset+grandezza).
Da quando le macchine tipiche non processano i frammenti fino a quando non li hanno ricevuti tutti e hanno provato a riassemblarli, c'e' la possibilità di un overflow dei 16 bit variabili interni, che conducono il sistema la crash, reboot, alla caduta del kernel, al kernel panic ecc..
Il problema apparenteemnete sembra essere limitato al ping, che in definitiva puo' essere facilmente fermato con un buon firewall; in verita' questo attacco puo' essere sfruttato da qualsiasi cosa in grado di spedire un datagramma ip: non solo icmp echo ma anche tcp, udp, e probabilmente anche il nuovo modello ipx puo' essere sfruttato per colpire i computer nei loro punti deboli.
Molto probabilmente un FIREWALL può essere la soluzione migliore per difendersi il culo, am qualsiasi cosa, dall'nfs, all'http, fino al comune telnet potrebbero diventare un valido strumento di aggressione.
Ecco qua sotto una tabella riassuntiva sulle porte più generiche e il loro utilizzo:
Numero di porta Funzione
9 DISCARD
15 NETSTAT
19 CHARGEN
21 FTP
23 TELNETD
25 SMTP
39 RLP
67 BOOTP
71 FINGERK
80/8080 HTTP
80/8080/5580 MILITARY HTTP
87 LINK
110 POP3
113 IDENTD
119 NNTP
144 NEWSK
512 EXECK
513 LOGIN
515 PKILL
517 KTALK
518 NTALK
533 NETWALL
560 RMONTIOR
561 MONTIOR
750 KERBEROS
SMURF
L'attacco Smurf e l protezioni contro di esso sono di interesse solo per gli operatori e gli amministratori di sistema.
Conosciuto anche come "Entire Internet Pinh Attack" o "IP broadcast floods" è un attacco di grande imapatto, che causa lag
(latenza) ad intere porzioni di rete internet, dato che mette in gioco diverse macchine su indirizzi differenti, ognuna delle quali genera autonomamente una trasmissione di pacchetti.
In questo caso la potenza dell'attacco non risisede tanto nella banda a disposizione dell'aggressore, ma negli "aiutanti" di cui esso dispone.
Per capire meglio la meccanica dello Smurf, esaminiamo il processo che determina l'attacco. Per prima cosa l'aggressore rileva l'indirizzo da attaccare e ricerca una serie di "aiutanti", ovvero macchine presenti in rete che lo aiuteranno involontariamente nel suo tentativo.
La fase successiva consiste nell'inviare dei pacchetti di ping spoofati, ovvero che recano come indirizzo del mandante non quello dell'aggressore, ma quello della vittima.
Il ping al'indirizzo di broadcast della rete costringe tutti gli host a rispondere contemporaneamente con una serie di icmp echo reply verso l'indirizzo della vittima, letteralmente travolgendola con una "inondazione" di ping.
ICMP Nuke
Conosciuto anche come "Nuke2", "ICMP Unreachable", "ICMP Unprotocol", "Click", "The original Nuke", "ICMP dest_ureach bug", "WinNewk/WinNewk-X", "gimp attack", il nuke icmp è un particolare tipo di attacco diffuso su irc che colpisce il protocollo tcp del server (irc) e del client ad esso connesso.
Attaccando entrambe le porte sulle quali comunicano il client e il server, la connessione viene immediatamente chiusa, causando la "caduta" dell'utente che si ritrova imediatamente fuori dalla chat.
Anche se molto diffuso in ambito irc, il nuke può essere utilizzato anche se con effetto minore per attentare alle comunicazioni client/server su differenti protocolli quali ftp, http, telnet.
|