Subject:
[TUTORIAL] Firewall, accessi da 127.0.0.1 e blaster
From:
Fabio Panigatti <bio@despammed.com>
Date:
Mon, 01 Sep 2003 09:01:48 GMT
Newsgroups:
it.comp.sicurezza.varie

Per evitare il solito flood di richieste, di cui v'e' gia' il primo
sentore, spendo due righette per descrivere alcuni aspetti del worm
"blaster" che possono essere d'interesse a chi riceve quei comunque
innocui pacchetti provenienti da indirizzi di loopback.

Il succitato worm (sui cui metodi di diffusione per ora sorvoliamo)
incorpora una routine destinata a lanciare un DDoS verso certi host
d'indubbia popolarita', uno per tutti windowsupdate.com. Il payload
di attacco prevede l'apertura di connessioni sulla porta 80/tcp dei
malcapitati server (e se gli host infetti sono tanti...). Trattasi,
nel caso specifico, d'un tentativo di SYN flood distribuito (quasi)
che viene condotto da blaster inviando un SYN alla porta 80/tcp del
server vittima usando indirizzi sorgente spoofati. E' quasi inutile
osservare che il SYN/ACK della vittima arrivera' all'host a cui nel
momento dell'attacco appartiene l'indirizzo ip spoofato da blaster,
da cui i SYN/ACK che tanti vedono provenire da alcuni host in rete.

Blaster, a quanto pare, non contiene una lista di ip (furbetto!) ma
una lista di nomi host dei server da floodare e quindi gli tocca di
risolverli, per poter sferrare il suo attacco. Per venire in contro
ai possessori dei server floodati alcuni gestori di DNS hanno avuto
un'ideona: "risolviamo il nome host delle macchine soggette a flood
in 127.0.0.1!". Detto fatto: ora i blaster in esecuzione su host il
cui DNS risolve i nomi nell'indirizzo di loopback inviano un SYN al
127.0.0.1. Incidentalmente l'interfaccia di loopback risponde con i
suoi SYN/ACK o RST (a seconda che ci sia o meno un server web sugli
host infetti) che vengono inviati all'indirizzo ip spoofato. Da cui
i pacchetti che tutti vedono sui propri firewall.

I ringraziamenti vanno ai gestori di DNS e ai gestori dei router.
Fabio