Smurf

Que signifie le terme smurf ?

C'est un "déni de service" ICMP. Cette attaque ICMP consiste à envoyer un "ping" (paquet ICMP: echo request) en broadcast sur tout un réseau (appelé "amplificateur de smurf") avec l'adresse IP de leur cible comme adresse de retour. Toutes les machines sur le réseau relais vont renvoyer un paquet ICMP (echo response) à la cible en réponse à cette requête. Le réseau amplificateur de smurf ainsi que la machine de retour seront inondés par des paquets ICMP. Pour plus d'efficacité l'attaquant utilise souvent de nombreux réseaux relais.

Comment faire pour savoir si vous êtes amplificateur de smurf ?

Le site suivant permet de voir si une classe IP est amplificateur de smurf :
http://www.powertech.no/smurf/
Ce site présente un "top ten' des sites amplificateurs de smurf (rafraichie toutes les 10 minutes)

Comment se protéger ?

Pour empêcher tout exploitation comme site amplificateur, la fonctionnalité de diffusion ciblée doit être désactivée au niveau des routeurs frontières et rejetée au niveau des systèmes d'exploitation.

Routeurs Cisco :
La commande permettant de désactiver les diffusions ciblées est :
no ip directed-broadcast

A partir de IOS Cisco version 12, cette fonctionnalité est activée par défaut.

Solaris 2.6, 2.51, 2.5 et 2.6 :
Pour empêcher des systèmes Solaris de répondre à des requêtes ECHO de diffusion, ajouter la ligne suivante à /etc/rc2.d/S69inet :
ndd -set /dev/ip ip_respond_to_echo_broadcast 0