¿Cómo prevenir el ataque del pitufo?

Navega tus respuestas
7

Estoy utilizando la red universitaria para acceder a Internet. Muchos otros usuarios están usando la misma red. Recientemente he estado experimentando conexión de red lenta. Entonces, cuando hice una investigación, descubrí que muchas otras computadoras en la red me han estado enviando paquetes ICMP. Usé Wireshark para analizar los paquetes entrantes. Aquí hay una captura de pantalla de mi análisis:

(MiIPera192.168.38.58)

LacapturadepaquetessellenóconestassolicitudesICMP.Cuandobusquéinformaciónenlaweb,descubríquehayunataquellamadosmurfattackenelqueunatacanteobligaaotrosistemadelaredaenviarunasolicitudICMPalsistemavíctima.

¿Esesteunejemplodeataquedepitufo?Siesasí,cómoevitarquemicomputadoraseaatacada.

ProporcioneunasoluciónparaelsistemaoperativoLinuxyWindows.

EDITNo.1:------

CuandocambiéladirecciónMACdemiPC,todovolvióalanormalidad.Noseobservarontalespaquetesmaliciosos.

EDITNo.2:------

Heusado Escáner de puertos avanzado para escanear mi puerto activo.

El puerto que estaba enviando el paquete UDP (53411) está cerrado

    
pregunta Snake Eyes 17.06.2015 - 15:05
fuente

2 respuestas

19

Los paquetes ICMP que regresaron fueron en respuesta a que su host envió paquetes UDP a otros hosts que no tienen el puerto 2054 abierto. No era un pitufo de ningún tipo, a menos que alguien obligara a su PC a enviar esos paquetes. En cualquier caso, se necesitarían mucho más que unas pocas docenas de paquetes pequeños en la subred local para reducir notablemente su conectividad. El culpable de su problema de velocidad se encuentra en otra parte. Además, intente averiguar por qué su PC está enviando paquetes UDP al puerto 2054 en una gran cantidad de hosts.

    
respondido por el Jeff Meden 17.06.2015 - 15:13
fuente
3

Según la captura de pantalla y los datos que presenta, no está en el extremo receptor de un ataque de pitufo. Para mí, este exploit es nostálgico. De vuelta en el día, solía pasar el rato en IRC con TFreak y estaba jugando con el exploit smurf cuando se creó por primera vez.

El exploit smurf simplemente emitiría ICMP a una IP de transmisión. Ahora, en estos días CIDR no existía realmente, por lo que la mayoría de las redes eran de Clase C (por ejemplo, 8.8.8.x) o Clase B (por ejemplo, 8.8.x.x). En este exploit, hacer ping a la IP de difusión de la red enviaría el paquete ICMP a todos los hosts en la subred, ya sea hasta 254 para la Clase C, o hasta 65535 en una Clase B. El exploit smurf simularía el ICMP paquete para que el ping parezca provenir de la IP de la víctima. Luego, las respuestas se inundarían de todas las máquinas activas que recibieron el paquete falsificado a través de su IP de transmisión. De esta manera, un ping se amplificaría hasta 65,000 veces en las respuestas, inundando el flujo descendente de la IP de la víctima.

Esto fue a finales de los 90. En estos días, casi todas las redes están parcheadas contra este tipo de explotación y hay pocas transmisiones vulnerables. Una encarnación más moderna es el ataque de amplificación de DNS, que recientemente se usó para una gran DDoS.

También las IP en la mitad de su captura de pantalla son todas las IP locales RFC1918, por lo que el tráfico está dentro de su LAN. Es probable que no haya un ataque de pitufo dentro de su red.

    
respondido por el Herringbone Cat 17.06.2015 - 19:26
fuente

Lea otras preguntas en las etiquetas

¿Cómo destruir una tarjeta de crédito antigua? ¿Cuál es la diferencia entre una puerta de enlace y un firewall? [cerrado]