Was ist ein SMURF?

[kretek]

Also, dass "smurf" das englische Wort für "Schlumpf" ist, das weiss ich durchaus. Ich frag mich nur, warum ein Schlumpf mit dem SX541 reden will:

**Smurf** 0.0.0.0, 0->> 224.0.0.2, 0 (von LAN - Eingang)

(hab ich aus dem Sicherheits-Log unter "Status" raus kopiert...)

Was is'n das jetz schon wieder?

 

[britzelfix]

@kretek

The "smurf" attack, named after its exploit program, is one of the most
recent in the category of network-level attacks against hosts. A
perpetrator sends a large amount of ICMP echo (ping) traffic at IP broadcast
addresses, all of it having a spoofed source address of a victim. If the
routing device delivering traffic to those broadcast addresses performs
the IP broadcast to layer 2 broadcast function noted below, most hosts on
that IP network will take the ICMP echo request and reply to it with an
echo reply each, multiplying the traffic by the number of hosts
responding. On a multi-access broadcast network, there could potentially
be hundreds of machines to reply to each packet.

Quelle: http://www.pentics.net/denial-of-service/white-papers/smurf.cgi

Gruß
britzelfix

 

[karpe]

....und da die Attacke von der Lan Seite kommt solltest du vielleicht mal deine Rechner etwas unter die Lupe nehmen.

Klaus

 

[kretek]

Hm. OK. Virenscan (Norman Antivirus), Ad-Aware und Spybot S&D melden nix Bösartiges auf meinem Rechner. Ideen?

 

[karpe]

Vielleicht wars ja ein Ausreißer. Genauen Aufschluß bringt Ethereal.

Klaus

 

[LuckyMan26]

Habe auch einen **Smurf** Eintrag in meinem Log gefunden. Bei mir heißt es "(von PPPoE1 - Eingang)". War das eine Attacke von außen? Stellt das nun eine Gefahr da? Das habe ich noch nicht so ganz verstanden.

Gruß, Lucky

 

[ILJASIK]

Wenn ich Filesharing Progs am laufen habe, bekomme ich diese Meldungen öfters. Ab und zu Mal "fragmentation flood" noch dazu! :lol:

 

[kretek]

bei mir is das ohne feilschääring. ;-)

 

[ILJASIK]

Da ist dann auf jeden Fall etwas in deinem Netzwerk faul! Vielleicht wurde eins von deinen PC's im Netzwerk infiziert und mutiert gerade zum Massen SPAM-Versender?

:bluescre: LÖL.

 

[LuckyMan26]

Heißt denn nun "(von PPPoE1 - Eingang)", daß jemand versucht hat, meinen Router als Smurf-Amplifier zu mißbrauchen?

Wieso erkennt das SX541 eigentlich den Smurf? Ein solcher wird ja wohl kaum eine Kennung mitsenden wie "Hallo ich bin ein Smurf Attacke".

Gruß, Lucky

 

[karpe]

1. Davon ist auszugehen, PPPoE1 ist der interne Anschluss zur Aussenwelt (Verbindung zwischen internem Modem und Router).

Nach
http://www.pentics.net/denial-of-service/white-papers/smurf.cgi

ist:
The "smurf" attack, named after its exploit program, is one of the most
recent in the category of network-level attacks against hosts. A
perpetrator sends a large amount of ICMP echo (ping) traffic at IP broadcast
addresses, all of it having a spoofed source address of a victim. If the
routing device delivering traffic to those broadcast addresses performs
the IP broadcast to layer 2 broadcast function noted below, most hosts on
that IP network will take the ICMP echo request and reply to it with an
echo reply each, multiplying the traffic by the number of hosts
responding. On a multi-access broadcast network, there could potentially
be hundreds of machines to reply to each packet.

Das lässt sich mit entsprechenden Rutinen relativ leicht ermitteln, ist natürlich auch fehlerträchtig. Wenn ein Programm (Spiel ?) zu irgendeinem Zweck viele Pings senden muss, wird es leicht fälschlich als Smurf erkannt.

 

[LuckyMan26]

Hallo karpe,

Du meinst also, daß das SX541 den Smurf selbst erkennt? Ist die Kiste dann auch so schlau, die Anfrage gar nicht erst zu beantworten, und so die Smurf Attacke abzuwehren?

 

[LuckyMan26]

Hallo, ich hatte jetzt schon wieder ein paar SMURF Attacken.
Hat das denn sonst niemand? Was ich wirklich dagegen tun kann, weiß ich auch noch nicht. Jedenfalls habe ich mal das Verfahren aktiviert über Email von Hackerangriffen unterrichtet zu werden. Da wird folgende Seite empfohlen, um etwas über die Hackerquelle herauszufinden.
http://combat.uxn.com/
Irgendwie ging das bei mir aber nicht. Hat da jemand Erfahrung?

Edit:
Ok, hiermit gehts. http://www.geektools.com/whois.php
Ich hatte irgendeine Adresse auch China. Ganz toll...
/Edit

Außerdem habe ich in meinem Log File folgende Einträge gefunden, was mir auch komisch vorkommt:

...
07/14/2005 04:22:13 PPPoE: sende PADI-Paket
07/14/2005 04:22:08 PPPoE: sende PADI-Paket
07/14/2005 04:22:03 PPPoE: sende PADI-Paket
07/14/2005 04:21:58 PPPoE: sende PADI-Paket
07/14/2005 04:21:53 PPPoE: sende PADI-Paket
07/14/2005 04:21:48 PPPoE: sende PADI-Paket
07/14/2005 04:21:43 PPPoE: sende PADI-Paket
....

Was passiert denn da?

Gruß, Lucky

 

[pfeffer]

Hi!

Ich habe keine konkrete Ahnung. Aber ich vermute eher, dass SX541 eine SMURF-Attacke "erkennt", obwohl es gar keine ist.

PADI-Pakete sind normaler und notwendiger Teil des pppoe-Protokolls -> nichts beunruhigendes.

Gruß,
Pfeffer.

 

[LuckyMan26]

PADI-Pakete sind normaler und notwendiger Teil des pppoe-Protokolls -> nichts beunruhigendes.

Auch wenn diese nachts um 4 Uhr alle paar Sekunden xmal gesendet werden?

 

[pfeffer]

hmm - ich weiß nicht mehr genau, wofür die PADI-Pakete da sind. Aber meiner Erinnerung nach dienen sie der Suche nach einem DSL-Modem im LAN. Viele Pakete hintereinander sprechen dafür, dass das DSL-Modem oder der ISP nicht reagiert. Vielleicht eine vorübergehende Störung? - Oder einfach nur die Zwangstrennung? - Oder sendet die Dein PC und versucht sich selbst per pppoe einzuwählen? - vielleicht versucht er das genau dann, wenn die Internetverbindung über den Router (wegen der Zwangstrennung) nicht klappt?

Gruß,
Pfeffer.

 

[karpe]

Und dazu aus China?
Aber ich denke trotzdem, der SX erkennt sie und damit kannst du relativ beruhigt sein. Wir haben z.Z. in starkem MAße Versuche festgestellt, dass sogen. Proxynetzwerke (anbieter die die Anonymisierung von Netzzugriffen anbieten) unser gesamtes Netz nach offenen Proxys durchsucht. Das ist wiie mit den Viren, man kann nur hoffen, dass die eigenen MAßnahmen shneller greifen - oder man muss vom Netz wegbleiben, das ist das sicherste.

Klaus

 

[pfeffer]

soweit ich mich erinnerre sind PADI-Pakte nicht in ip gekapselt, d.h. sie könnnen nicht über das Internet übertragen werden, sondern nur im Ethernet. Die PADI-Pakete können nicht aus China kommen. Guckst Du hier: http://www.aidex.de/internet/pppoe-send-padi.html

Gruß,
Pfeffer.

 

[LuckyMan26]

Dank Euch, Pfeffer und Klaus. Ich vermute, es ist wirklich die Zwangstrennung oder eine vorübergehende Störung.
So lernt man immer etwas dazu! Gruß, Lucky

 

[McRib]

@kretek:

All-Routers.mcast.net
Auch diese Meldung mit der IP-Adresse 224.0.0.2 und 224.0.0.9 werden Sie sehr bald nach der Einwahl ins Netz sehen, denn es handelt sich um ein Gespräch zwischen Routern der Service-Provider untereinander. Diese Adresse ist kein Rechner, sondern ein Multicast-Channel, ueber den sich Multicast-faehige Router untereinander unterhalten. Sie können, müssen aber diese Verbindung freigeben. Sie ist nicht bösartig und es versucht auch niemand, darüber in Ihren Rechner einzudringen. Die Regel hierfür lautet also:

Description: Multicast-Router
Protocol: TCP and UDP (Transmition Control Protocol und User Datagram Protocol)
Direction: Both direction (Verbindungen zu beiden Richtungen)
Local Port: Any Port (Der lokale Port)
Application: Any (Jede (internetfähige) Anwendung)
Remote-Port: Any Port (Alle Ports)
Remote Adress: 224.0.0.2(IP des Zielrechners - hier der lokale Rechner)
Rule Valid: Always (Die Regel hat ständig Gültigkeit)
Action: Permit (Der Zugriff wird erlaubt)
Häckchen an: Log when this rule match (Es erfolgt ein Eintrag im Logfile)

IANA Reserved Addresses