Atlantis Land A02-RA MI01 Manuale d'uso

Capitolo 3 Uso dell’I-Storm Router ADSL

40

- Smurf Attack (ICMP Echo with x.x.x.0 or x.x.x.255)
- Snork Attack
- UDP port loop-back

- TCP NULL scan
-TCP XMAS Scan
-WinNuke Attack
-TCP SYN Flooding
-Ascend Kill
-IMAP SYN/FIN scan
-Net Bus scan

- Back Orifice scan

Segue una breve descrizione del funzionamento degli attacchi più comuni.

IP Spoofing è un attacco particolare in cui l’attaccante cerca di intromettersi in una connessione con lo
scopo di abbatterla o di prenderne il controllo. Può essere fatto sia dall’interno della propria Lan (con
possibilità più alte di successo se si dispone di LAN con HUB) che da Internet con possibilità di
successo infinitamente inferiori. Grazie al SPI il Router esamina a fondo i pacchetti che lo attraversano
e confrontando molti parametri coi pacchetti precedenti della stessa connessione riesce a stabilire con
efficacia se un pacchetto in arrivo è “spoofato” o meno.

Sync Flood, come già accennato è un attacco che mira a esaurire le risorse del sistema che lo subisce.
All’atto dell’instaurazione di una connessione viene spedito un pacchetto (dall’attaccante) col quale si
avvisa che si vuole costruire la connessione. Il ricevente, cioè l’attaccato, alloca delle risorse e
risponde con un pacchetto per proseguire la creazione della connessione. L’attaccato aspetta
pazientemente il pacchetto di risposta (che non arriverà mai poiché l’attaccante avrà scelto o un IP di
un host spento oppure starà attaccando l’host in questione impedendogli di rispondere). Le risorse
allocate saranno bloccate sino a che non scade il timer associato. Nel frattempo l’attaccante ripeterà
quest’attacco finendo col bloccare tutte le risorse disponibili nell’attaccato. Il firewall integrato nell’I-
Storm ADSL Router riconosce il tentativo di apertura di diverse connessioni provenienti dallo stesso
IP e non allocherà le risorse. Certamente, a meno di trovarsi con sprovveduti, l’IP che verrà registrato
nella tabella del sicurity logs non apparterrà all’attaccante.

Smurf Attack, tenta invece di esaurire l’intera banda dell’host vittima, per fare questo può (a seconda
della velocità della sua connessione) sfruttare anche delle sottoreti che fungono da amplificatore.
Infatti l’indirizzo di broadcast di queste sottoreti vieni sfruttato e così tutti gli host di questa sottorete
rispondono all’Echo Request richiesto dall’attaccante che avrà sostituito l’IP del mittente con quello
dell’attaccato. All’attaccato tutti gli host risponderanno col pacchetto di Echo Reply generando un
traffico intensissimo. L’I-Storm ADSL Router filtra i pacchetti di Echo Reply in uscita trattandolo
come un attacco.

Ping of Death, quest’attacco particolare e dalle conseguenze variabili (anche a seconda del carico
della macchina) viene generato creando un pacchetto ICMP di Echo Request fuori standard. Il
pacchetto IP può infatti essere lungo, dalle spefiche RFC, al massimo 65536 bytes di cui 20 sono
riservati per l’header. Entro il Payload vengono inseriti i pacchetti di livello superiore, in questo caso
l’ICMP (oppure TCP, UDP) che ha un header lungo 8 bytes. La lunghezza massima per il Payload del