PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Smurf Angriff ?


dirkk
01.05.08, 11:46
Hallo,

mein Router sendete mir am 24. und 25.4. sowie heute jeweils 12 mal hintereinander die folgende Mail:

[Zitat]
Guten Tag
Ihr Router hat einen Versuch des Eindringens in Ihr Netzwerk festgestellt und abgewehrt.
blah
blah
blah
Alarmmeldung Ihres Routers

Uhrzeit: 03/26/2008, 22:54:52
> >: Smurf
Von: 206.55.74.0, 80
Zum:192.168.2.201, 36369 (von PPPOE - Eingang)
[Zitat Ende]

Google sagte mir bei Smurf handelt es sich um eine DOS Attacke, da ich kein hängen und auch keine Verlangsamung des Systems erkennen konnte, gehe ich davon aus, dass der Router wirklich alles geblockt hat. Nicht über Datum/Uhrzeit wundern, die Routeruhr geht nicht richtig. Diese Mail kam vor einigen Minuten.

206.55.74.0 gehört zu Sol.net Network Services

Ist das etwas worüber ich mir Sorgrn machen sollte? Was sollte man unternehmen?

Gruß Dirk
Veierabend
01.05.08, 13:09
Da kommts dann auf die Bandbreite an, die dem Angreifer zur Verfügung steht und wieviele Rechner am Router hängen.

Bei einem Smurf-Angriff sendet ein Angreifer ICMP-Echo-Requests (Pings) an die Broadcast-Adresse eines Netzwerks. Als Absender wird in diese IP-Pakete die Adresse des Opfers eingetragen. Je nach der Konfiguration des Routers leitet dieser die Anfrage in das innere Netz weiter. Das hat zur Folge, dass alle angeschlossenen Clients dem Opfer auf die vermeintliche Anfrage antworten. Je nach Anzahl der Clients kann der Angreifer auf diese Art mit nur einem ICMP-Paket eine hohe Anzahl von Antworten an das Opfer erzeugen.
[...]
Nutzt der Angreifer beispielsweise seine 1 Mbit/s-Leitung aus und sendet Pings an einen Amplifier, an den 1000 Clients angeschlossen sind, so wird das Opfer mit einem Stream von knapp 1 GBit/s konfrontiert. Dies führt je nach Opfer zu einer völligen Auslastung des Netzwerks oder des Betriebssystems, einem Überlaufen des Netzwerkstacks oder zum Absturz des Systems.
[...]
Um eine Smurf-Attacke zu verhindern, muss man Hosts so konfigurieren, dass sie nicht auf Pings auf die Broadcast-Adresse antworten und Router so konfigurieren, dass sie Pakete nicht weiterleiten, die an eine Broadcast-Adresse gerichtet sind .
dirkk
01.05.08, 13:49
Da kommts dann auf die Bandbreite an, die dem Angreifer zur Verfügung steht und wieviele Rechner am Router hängen.

Ist 'n DSL2000 Anschluß und 3 Rechner hängen per WLan dran.

Gruß Dirk