Attaques par internet.

Le
S. A.
Bonsoir,

Ma connexion internet s'effectue par wifi sur boîte modem-parefeu-
routeur extérieur au pc.

J'ai reneigné les instructions suivantes :
- envoyer un email en cas d'attaque sur le réseau.
- faire un historique (log) des attaques.

J'ai donc la copie du log suivant :

--copie du log--ON
03/25/2008 12:37:32 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:37:30 SMTP> Succeed in sending alert mail.
03/25/2008 12:37:30 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:37:29 SMTP> Succeed in sending alert mail.
03/25/2008 12:37:29 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:37:28 SMTP> Succeed in sending alert mail.
03/25/2008 12:37:28 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:37:27 SMTP> Succeed in sending alert mail.
03/25/2008 12:37:27 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:37:26 SMTP> Succeed in sending alert mail.
03/25/2008 12:37:25 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:37:25 SMTP> Succeed in sending alert mail.
03/25/2008 12:37:24 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:37:23 SMTP> Succeed in sending alert mail.
03/25/2008 12:37:23 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:37:22 SMTP> Succeed in sending alert mail.
03/25/2008 12:37:22 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:37:20 SMTP> Succeed in sending alert mail.
03/25/2008 12:37:20 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:37:19 SMTP> Succeed in sending alert mail.
03/25/2008 12:37:19 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:37:17 SMTP> Succeed in sending alert mail.
03/25/2008 12:37:17 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:36:14 SMTP> Succeed in sending alert mail.
03/25/2008 12:36:14 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:36:13 SMTP> Succeed in sending alert mail.
03/25/2008 12:36:13 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:36:10 SMTP> Succeed in sending alert mail.
03/25/2008 12:36:10 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:36:09 SMTP> Succeed in sending alert mail.
03/25/2008 12:36:09 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:36:07 SMTP> Succeed in sending alert mail.
03/25/2008 12:36:07 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:35:54 SMTP> Succeed in sending alert mail.
03/25/2008 12:35:54 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:35:52 SMTP> Succeed in sending alert mail.
03/25/2008 12:35:52 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:35:51 SMTP> Succeed in sending alert mail.
03/25/2008 12:35:51 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:35:49 SMTP> Succeed in sending alert mail.
03/25/2008 12:35:49 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:35:48 SMTP> Succeed in sending alert mail.
03/25/2008 12:35:48 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:35:46 SMTP> Succeed in sending alert mail.
03/25/2008 12:35:46 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:35:44 SMTP> Succeed in sending alert mail.
03/25/2008 12:35:44 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:35:42 SMTP> Succeed in sending alert mail.
03/25/2008 12:35:42 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:35:41 SMTP> Succeed in sending alert mail.
03/25/2008 12:35:41 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:35:39 SMTP> Succeed in sending alert mail.
03/25/2008 12:35:39 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:35:38 SMTP> Succeed in sending alert mail.
03/25/2008 12:35:37 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:35:36 SMTP> Succeed in sending alert mail.
03/25/2008 12:35:36 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:35:35 SMTP> Succeed in sending alert mail.
03/25/2008 12:35:35 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:35:34 SMTP> Succeed in sending alert mail.
03/25/2008 12:35:34 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:35:33 SMTP> Succeed in sending alert mail.
03/25/2008 12:35:32 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:35:31 SMTP> Succeed in sending alert mail.
03/25/2008 12:35:31 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:35:30 SMTP> Succeed in sending alert mail.
03/25/2008 12:35:30 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:35:29 SMTP> Succeed in sending alert mail.
03/25/2008 12:35:29 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3, Code:3 (from PPPoE1 Outbound)
03/25/2008 12:35:28 SMTP> Succeed in sending alert mail.
03/25/2008 12:35:27 **Smurf** 169.254.255.255->> 169.254.170.164,
Type:3,
--copie du log--OFF

De quelles attaques s'agit-il ?
Que veut dire "smurf" ?
L'origine de ces attaques peut-elle être localisée ? Par quel moyen ?

Merci d'avance pour vos réponses éventuelles.
__
Salvatore
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
_Dine & Clau_
Le #2537961
"S. A." news:47f6a240$0$2989$:

Bonsoir,

J'ai reneigné les instructions suivantes :
- envoyer un email en cas d'attaque sur le réseau.
- faire un historique (log) des attaques.

Que veut dire "smurf" ?


Smurf relève de la catégorie générale des attaques de déni de service
- des attaques de sécurité que de ne pas essayer de voler des
informations, mais plutôt tenter de désactiver un ordinateur ou d'un
réseau.
[ par _SebF - ON]
1 - Le concept
Le concept est d'émettre une trame de type ICMP à une adresse IP de
Broacast réseau. Cela permettant de s'adresser à plusieurs host
simultanément appelé « Amplificateur ». Le résultat vous multiplie
l'attaque par n fois.

2 - Le fonctionnement
2.1 - Schéma


2.2 - Envoi
L'émetteur envoi une trame Ip du type Icmp à l'adresse de broacast du
réseau cible A. Voici le schéma de l'entête IP avec le champ « Type
protocol » basé sur 1 octet ainsi que le positionnement du broadcast
dans le champs « Ip Destination » basé sur 4 octets :



2.3 - Réception sur le réseau cible A
Lorsque la trame arrive sur le Lan du réseau cible A, tous les
périphériques la réceptionnent et la considèrent. Cela est dû au fait
quelle est destinée à l'adresse IP de broadcast signifiant « Pour
tous le monde ». Ils l'interprètent tous individuellement comme ci
elle leur était directement adressé.

2.4 - Réponse du réseau cible A
Les périphériques du réseau cible A vont répondre à l'Ip source de la
trame reçu correspondant à la cible B visé. La réponse sera bien sur
envoyée n fois correspondant au nombre d'hôte sur le LAN répondant au
broadcast.

Voici une capture de trame réalisée à l'aide de Sniffer Pro 4.70.04
montrant un ping sur l'adresse broadcast du réseau 210.169.164.0/24.
Vous pourrez remarquer les 73 réponses.

2003.09.27 - Capture Smurf - Netmon.cap (version Network Moniteur 2)
2003.09.27 - Capture Smurf - SnifferPro.cap (version Sniffer Pro)


Attention, certaine pile IP, tel que celle de Windows, ne répondent
pas au broadcast dû à une désactivation par défaut.

Attention, si vous désirez recevoir les réponses à votre broadcast,
l'analyse de trame ne vous montrera rien du tout si vous utilisez du
PAT (Port Address Translation). Car cette configuration vous
empêchera de réceptionner les réponses du fait que les trames retours
n'auront pas de correspondance avec l'Echo sortant.

3 - Les conseils et astuces
- Vous pourrez multipliez une attaque si vous visez deux réseaux
broadcast IP. Pour cela, vous spécifiez le premier en IP destination
et le second en IP source. L'effet sera ravageur.

- Vous pouvez utilisez un autre protocole que ICMP comme UDP basé sur
le port 7 (echo). Le principe reste le même, sauf que le nom de
l'attaque se nomme alors « Fraggle ».
[ par _SebF - OFF]


L'origine de ces attaques peut-elle être localisée ? Par quel
moyen ?


Attention, certaine pile IP, tel que celle de Windows, ne répondent
pas au broadcast dû à une désactivation par défaut.

Attention, si vous désirez recevoir les réponses à votre broadcast,
l'analyse de trame ne vous montrera rien du tout si vous utilisez du
PAT (Port Address Translation). Car cette configuration vous
empêchera de réceptionner les réponses du fait que les trames retours
n'auront pas de correspondance avec l'Echo sortant.

Comment s'en protéger ?

Configurer le firewall pour filtrer les packets ICMP echo ou les
limiter à un pourcentage de la bande passante.

Configurer le routeur pour désactiver le broadcast.
__
CB
C&C

Publicité
Poster une réponse
Anonyme