Smurf
par _SebF

1 - Le concept
2 - Le fonctionnement
        2.1 - Schéma
        2.2 - Envoi
        2.3 - Réception sur le réseau cible A
        2.4 - Réponse du réseau cible A
3 - Les conseils et astuces
4 - Les liens
5 - Les outils
6 - La conclusion
7 - Discussion autour de la documentation
8 - Suivi du document

1 - Le concept

Le concept est d'émettre une trame de type ICMP à une adresse IP de Broacast réseau. Cela permettant de s'adresser à plusieurs host simultanément appelé « Amplificateur ». Le résultat vous multiplie l'attaque par n fois.

2 - Le fonctionnement

2.1 - Schéma

TCPIP IPV6 VOIP VPN IP IPV4

2.2 - Envoi

L'émetteur envoi une trame Ip du type Icmp à l'adresse de broacast du réseau cible A. Voici le schéma de l'entête IP avec le champ « Type protocol » basé sur 1 octet ainsi que le positionnement du broadcast dans le champs « Ip Destination » basé sur 4 octets :

TCPIP IPV6 VOIP VPN IP IPV4

2.3 - Réception sur le réseau cible A

Lorsque la trame arrive sur le Lan du réseau cible A, tous les périphériques la réceptionnent et la considèrent. Cela est dû au fait quelle est destinée à l'adresse IP de broadcast signifiant « Pour tous le monde ». Ils l'interprètent tous individuellement comme ci elle leur était directement adressé.

2.4 - Réponse du réseau cible A

Les périphériques du réseau cible A vont répondre à l'Ip source de la trame reçu correspondant à la cible B visé. La réponse sera bien sur envoyée n fois correspondant au nombre d'hôte sur le LAN répondant au broadcast.

Voici une capture de trame réalisée à l'aide de Sniffer Pro 4.70.04 montrant un ping sur l'adresse broadcast du réseau 210.169.164.0/24. Vous pourrez remarquer les 73 réponses.

2003.09.27 - Capture Smurf - Netmon.cap (version Network Moniteur 2)
2003.09.27 - Capture Smurf - SnifferPro.cap (version Sniffer Pro)

TCPIP IPV6 VOIP VPN IP IPV4

Attention, certaine pile IP, tel que celle de Windows, ne répondent pas au broadcast dû à une désactivation par défaut.

Attention, si vous désirez recevoir les réponses à votre broadcast, l'analyse de trame ne vous montrera rien du tout si vous utilisez du PAT (Port Address Translation). Car cette configuration vous empêchera de réceptionner les réponses du fait que les trames retours n'auront pas de correspondance avec l'Echo sortant.

3 - Les conseils et astuces

- Vous pourrez multipliez une attaque si vous visez deux réseaux broadcast IP. Pour cela, vous spécifiez le premier en IP destination et le second en IP source. L'effet sera ravageur.
- Vous pouvez utilisez un autre protocole que ICMP comme UDP basé sur le port 7 (echo). Le principe reste le même, sauf que le nom de l'attaque se nomme alors « Fraggle ».

4 - Les liens

- Un article du journal Zdnet
- The White Paper
- L'information de « CERT Coordination Center »

5 - Les outils

- 2003.09.27 - Liste des IP - Smurf.xls représente la liste des blocs d'adresses IP ouverts au Smurf.
- Pingicmp permet d'envoyer un paquet Icmp très rapidement et bien sûr à des adresses de Broadcast.
- Synflood, permet de générer une attaque basé sur le SYN TCP et bien sur à des adresses de Broadcast.
- FrameIP, permet de générer des trames IP et à destination d'un Broadcast, vous ferez ce que vous voulez.

6 - La conclusion

Ce concept permet d'amplifier une attaque et vous aidera à générer le nombre de trame nécessaire à une liaison de type Dial et xDsl.

7 - Discussion autour de la documentation

Vous pouvez poser toutes vos questions, vos remarques et vos expériences à propos de l'attaque Smurf. Pour cela, rendez-vous sur le Forum "Sécurité".

8 - Suivi du document

Le 15 novembre 2003, par _SebF, ajout du schéma de la pseudo entête.

Le 02 octobre 2003, par _SebF, création du document.



mot clé : ipv6 smurf flooding liste ip ipv4 type windows pile vpn xls flood reception attaque host voip linux broadcast hack amplificateur netmon snifferpro echo translation fraggle synflood.exe tcpip pingicmp.exe

Copyright © 2011-2015 FrameIP TcpIP. Tous droits réservés. Les marques et marques commerciales mentionnées appartiennent à leurs propriétaires respectifs. L'utilisation de ce site Web TcpIP implique l'acceptation des conditions d'utilisation et du règlement sur le respect de la vie privée.
Sécurité entreprise Téléphonie entreprise Expert de votre Infrastructure Test ADSL Serinya Operateur Telecom