INTRODUZIONE

Fra le varie cause di un crash repentino del sistema non vi sono solo errori interni dei vari programmi o problemi software, a volte si è ignari vittime di un attacco nuke.

A dire il vero nuke è un termine improprio perchè questa parola si riferisce ad un attacco ben preciso...anche se è passata ad indicare una categoria di aggressioni ai sistemi di servizio definibili come d.o.s. o Denial Of Service (negazione dei sistemi di servizio ). I d.o.s. si appoggiano normalmente sui bug d isistema,cioè svolgono il loro lavoro attaccando il sistema in quelle parti lasciate " scoperte " dal lavoro non perfett odi programmatori o da backdoors o dai limiti strutturali che ogni sistema operativo porta in se.

Passiamo ora ai vari tipi di attacchi e rimedi possibili...iniziamo con il più vecchio e diffuso...

WINNUKE

E' stato uno dei primi attacchi ed è in grado però di colpire solo i sistemi WIN95/NT . In rete quest oattacco è conosciuto anche con i seguenti nomi: " NUKE1 " , " Bluescreen nuke ", "nuke OOB ", " Port 139 attack/nuke ", " Blue Screen of death ", " Windows OOB bug ", "Blue nuke" , "Muerte" , "Netbios nuke ".

L'attacco avviene normalmente a livello della porta 139 ( o 137 per NT ) usata per gli OUT OF BRAND, tramite l' invio di un codice OOB non valido al netbios di win, che causa un " congelamento "del S.O. e richiede un reboot. Contrariamente a quanto si crede per essere nukkati no bisogna essere in irc ma basta essere connessi ad internet.

 

ICMP

Questo attacco è un attacco di tipo flood che avviene normalmente mediante l'invio di molti ping, ed è per quest oconosciuto anche ocm "Ping Flood" o " Ping Attach". I flood ( inondazione ) si verificano quando un utente invia un enorme seria di pacchetti di dati che attaccano direttamente il winsock. In pratica il modem viende sovraccaricato, dato che i pacchetti/ping "inutili " spediti con questo attacco richiedono al computer preso di mira una risposta di tipo pingreply/icmp-echo, che rallenta notevolmente la connessione ad internet. Se il flood ha successo e il modem ricevente subisce tutt ii pacchetti, il modem e il computer si troveranno a occuparsi solo di quei pacchetti, in questo modo il computer non sarà in grado di rispondere alle richieste di ping da parte del server irc ,che effettua i propri ping per verificare se un utente è in linea.

Il risultato è che il server interpreta la mancata risposta ai propri ping come una "caduta " per TIME OUT del client irc e lo disconette.

SSPING

SSping è un tipo di attacco con pacchetti icmp in grado di congelare un computer sotto diversi sistemi operativi. In pratica è possibile mandare in crash, forzare il reboot, e in definitiva mandare in blocco un gran numero di sistemi operativi mediante l'invio di un ping di una certa grandezza da una macchina remota. La sua semplicità lo rende un attacco molto diffuso, dato che in fin dei conti si tratta di un semplice ping. l' ssping conosciuto anche come JOLT , ICMP bug , ICENEWK, O PING OF DEATH, è basato su un codice che congela le vecchie implementazioni SysV e Posix e opera principalmente mediante l'invio di una serie di pacchetti ping icmp frammentati ( e a volta spoofati, ovvero con intestazione recante un ip differente da quello della macchina che li ha generati ) all' obbiettivo, che tenta di rispondere ricostruendo una risposta al ping frammentato da 64k, mandando in crash il sistema operativo.

Il funzionamento di questo attacco è nel contempo semplice e letale, dato che è in grado di mettere a terra non solo macchine Unix, ma anche Mac Windows , Netware,router, stampanti di rete e molto altro ancora.

In pratica , un datagramma ip di 65536 bytes è illegale, nel senso che i computer non permettono il loro invio, ma è possibile ovviare a questo limite creandone uno in modo che il pacchetto sia fragmentato, ovvero sia diviso in pezzi per la trasmissione. Quando i frammenti vengono riassemblati viene creato un pacchetto di dimensioni non consentite, inondando il buffer di qualsiasi sistema, causando ,a seconda di chi lo riceve, effetti differenti.

Per ovviare a questo tipo di problema, le software house hanno rilasciato le apposite patch in tempi ridottissimi.

Per capire meglio come la meccanica dell icmp flood bisogna approfondire alcune informazioni di fondo sull ICMP ECHO (ping) :

*** I pacchetti ip, secondo la RFC-791(request for cmments, documentazione tecniva redatta dalla internet engeneering task force),possono essere superiori alla lunghezza di 65.535 ( 2^16-1) ottetti, la quale include anche la lunghezza dell' intestazione (tipicamente di 20 ottetti ). I pacchetti + grandi della grandezza massima possono essere maeggiati dallo strato di underlyling ( l' MTU )e frammentati in pacchetti più piccoli, che vengono riassemblati dal ricevitore . Una richiesta di icmp echo " vive " nel pacchetto ip ( RFC-792) , seguito dal numero di dati degli ottetti nella richiesta " ping " .

Da adesso la grandezza massima di informazioni ammessa all' area dei dati è : 65535-20-8=65507 ottetti.

***Ma cos'è che causa il crash della macchina ricevente ?

Bisogna notare che è possibile inviare un pacchetto echo illegale con più di 65507 otetti di dati grazie al meccanismo di ricostruzione dei pacchetti, che fa affidamento su di un valore di oofset in ciascun frammento per determinare il punto in cui il frammento individuale va riassemblato.

In quest ultimo modo è possibile combinare un offset valido con un frammento individuale di grandezza superiore a 65535. Da quando le macchine tipiche non processano i frammenti fino a quando non li hanno ricevuti tutti e hanno provato a riassemblarli,c'è la possibilità di un overflow dei 16 bit variabili interni, che posso condurre il sistema al crash.

 

ICMP Nuke

 

Conosciuto anche come "Nuke 2 ", " ICMP Unreachable", "ICMP Unprotocol, " Click ","GImp Attack ".

E' un particolare tipo di nuke diffuso su irc che colpisce il protocollo tcp del SERVER ( irc) e del CLIENT ad esso connesso.

Attacando entrambe le porte sulle quali comunicanoil client e il server, la connessione viene immediatamnte chiusa, causando la "caduta " dell' utente che si ritrova immediatamente fuori dalla chat. Anche se molto diffudo in ambito irc, il nuke può essere utilizato anche se con mionre efficacia per attentare alle comunicazioni client/server su differenti protocolli quali ftp,http,telnet.

 

In collaborazione con inter.net