Alnitawk   Virus /
BlasterFAQ		 SearchWiki
Virus.RecentChanges
Edit Page
Page Revisions		 

 From : Fabio Panigatti <bio@despammed.com>
 Date : Mon, 01 Sep 2003 09:01:48 GMT
 Group: it.comp.sicurezza.varie

 Per evitare il solito flood di richieste, di cui v'e' gia' il primo
 sentore, spendo due righette per descrivere alcuni aspetti del worm
 "blaster" che possono essere d'interesse a chi riceve quei comunque
 innocui pacchetti provenienti da indirizzi di loopback.

 Il succitato worm (sui cui metodi di diffusione per ora sorvoliamo)
 incorpora una routine destinata a lanciare un DDoS verso certi host
 d'indubbia popolarita', uno per tutti windowsupdate.com. Il payload
 di attacco prevede l'apertura di connessioni sulla porta 80/tcp dei
 malcapitati server (e se gli host infetti sono tanti...). Trattasi,
 nel caso specifico, d'un tentativo di SYN flood distribuito (quasi)
 che viene condotto da blaster inviando un SYN alla porta 80/tcp del
 server vittima usando indirizzi sorgente spoofati. E' quasi inutile
 osservare che il SYN/ACK della vittima arrivera' all'host a cui nel
 momento dell'attacco appartiene l'indirizzo ip spoofato da blaster,
 da cui i SYN/ACK che tanti vedono provenire da alcuni host in rete.

 Blaster, a quanto pare, non contiene una lista di ip (furbetto!) ma
 una lista di nomi host dei server da floodare e quindi gli tocca di
 risolverli, per poter sferrare il suo attacco. Per venire in contro
 ai possessori dei server floodati alcuni gestori di DNS hanno avuto
 un'ideona: "risolviamo il nome host delle macchine soggette a flood
 in 127.0.0.1!". Detto fatto: ora i blaster in esecuzione su host il
 cui DNS risolve i nomi nell'indirizzo di loopback inviano un SYN al
 127.0.0.1. Incidentalmente l'interfaccia di loopback risponde con i
 suoi SYN/ACK o RST (a seconda che ci sia o meno un server web sugli
 host infetti) che vengono inviati all'indirizzo ip spoofato. Da cui
 i pacchetti che tutti vedono sui propri firewall.

 I ringraziamenti vanno ai gestori di DNS e ai gestori dei router.

 Fabio
Edit Page - Page Revisions - WikiHelp - SearchWiki - RecentChanges
Page last modified on February 29, 2004, at 09:24 PM