TECNICA DE HACKING

SMURF
Presentado por:
Alexander Navarrete P.
Luis José Pulido A.
Oscar López
 Paquetes ICMP
• ICMP es una parte integral del protocolo IP
(Internet Protocol) y debe ser implementado
por cada módulo IP
Utilización
• Un datagrama no puede llegar a su destino
• Cuando el gateway no tiene la capacidad
para manejar un datagrama específico
 Ataque Smurf
• Smurf puede causar que la parte atacada de la red
se vuelva inoperable
• Aprovechamiento del direccionamiento broadcast
• Un programa "Smurf" emplea otra técnica de
hacking conocida con el nombre de “IP Spoofing”
• Usuario con un modem de 28.8 kbps, podría
generar un tráfico de (28.8 * 40)kbps o 1552
kbps, cerca de 2/3 de una línea T1
 Ataque Smurf - Componentes
• El Atacante: persona que crea los paquetes
ICMP con la IP fuente falsa y lanza el ataque.
• El Intermediario: red amplificadora del
paquete ICMP con su direccionamiento
broadcast habilitado.
• La Víctima: su dirección IP ha sido
suplantada para que las respuestas ICMP
sean enviadas a ella.
Toma3.exe
 Logs de Smurf - Origen
00:00:05 spoofed.net > 192.168.15.255: icmp: echo request
00:00:05 spoofed.net > 192.168.1.255: icmp: echo request
00:00:05 spoofed.net > 192.168.14.255: icmp: echo request
00:00:05 spoofed.net > 192.168.14.0: icmp: echo request
• Varios icmp echo request a diferentes
direcciones broadcast
• Dirección origen spoofed.net que será la
máquina víctima
 Logs de Smurf - Víctima
%SEC-6-IPACCESSLOGDP: list 169 permit icmp 192.168.45.142 (Serial0
*HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 permit icmp 192.168.45.113 (Serial0
*HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 permit icmp 192.168.212.72 (Serial0
*HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 permit icmp 192.168.132.154 (Serial0
*HDLC*) -> 10.2.3.7 (0/0), 1 packet

• El enrutador registra la llegada de los paquetes icmp

echo reply desde el (los) intermediario(s) hacia la
víctima
 Defensa
• Debido a que el ataque es realizado en
varios pasos, es necesario hacer la defensa
en unos muy similares:
– Intermediario
– Víctima
– Origen
 Defensa Intermediario
• Deshabilitar dirección IP broadcast
• Configurar el sistema operativo para que no
responda los ICMP
Ejemplo enrutadores CISCO:
– no ip directed-broadcast (deshabilita broadcast)
– access-list 101 deny ip 0.0.0.0 255.255.255.255
172.16.0.255 0.0.255.0 (bloqueo direcciones IP,
redes pequeñas)
 Defensa Intermediario
• Configurar una dirección estática ARP
incorrecta para la dirección broadcast
Ejemplo Linux
– arp -s 192.0.2.255 00:00:00:00:00:00
• Estos hacen que los paquetes que van
dirigidos a una dirección broadcast, vayan a
una dirección inexistente
 Defensa Víctima
• En el momento de inicio del ataque, nada lo
puede evitar

• Bloquear todos los paquetes ICMP

• Comunicarse con el intermediario y cortar

la línea de ataque desde allá.
 Defensa Origen
• Colocar un filtro en el enrutador de la red,
el cual bloquee los paquetes que van a salir
con una dirección de origen que no le
pertenece
• En una red con dirección IP 157.253.x.x, un
paquete intenta salir con dirección de origen
198.162.1.12, el enrutador lo detecta y no lo
deja salir.
 Conclusiones
• Smurf es un ataque bastante poderoso, y no muy difícil de
llevar a cabo
• Cuando se presenta un ataque Smurf no solo la víctima
puede sufrir de DoS, el intermediario se puede ver afectado.
• Es importante establecer mecanismos de seguridad para
contrarrestar el ataque y son particulares dependiendo la
tecnología que utilice la organización.
• Las decisiones que se tomen para implantar seguridad en la
red, pueden privar de ciertas ventajas al administrador y/o
usuarios de ésta, pero es más alto el costo si la red cae bajo
un ataque de Smurf.
 Referencias
• http://www.whatis.com
• Computer networks / Andrew S. Tanenbaum.
• RFC 0792, Internet Control Message Protocol
• http://www.time.com/time/digital/daily/0,2822,38899,00.html - 12-02-2001
• http://canada.cnet.com/news/0-1003-200-327506.html - 06-02-2001
• http://security-archive.merton.ox.ac.uk/CERT/007.htm
• http://www.nordu.net/articles/smurf.html
• http://www.ln.net/assoc/policies/smurf.html
• http://moskva-gw.cccpnet.gov.ussr.net/~illodius/html/smurf.html
• http://www.inet-one.com/cypherpunks/dir.1999.06.28-1999.07.04/msg00076.html
• http://www.ee.siue.edu/~rwalden/networking/icmpmess.html
• http://www.freesoft.org/CIE/RFC/792/index.htm
• http://www.cert.org/advisories/CA-1998-01.html - 10-02-2001
• http://download.networkice.com/Advice/Exploits/IP/smurf/Amplifier_Defense/default.htm - 10-02-
2001
• http://www.iops.org/Documents/smurf-faq.html - 10-02-2001
• http://www.kbeta.com/SecurityTips/Checklists/Cisco%20Packet%20Floods.htm#2d 05-06-2001
• http://www.sans.org/newlook/resources/IDFAQ/traffic.htm 08-06-2001