SMURF ATTACK

SMURF ATTACK
 (Kecoak Elektronik)

Tentunya kita sudah sering mendengar tentang DOS (denial-of-service)
ingin saya bahas adalah tentang fenomena SMURF attack yang lumayan seru, soalnya dengan
modal modem 56kbps kita bisa bikin crash koneksi ADSL,Cablevision access, dan laennya selama
masih dibawah T3.. kalau udah ini nyerah aja dech :)

kenapa smurf? smurf adalah suatu program yang digunakan dalam teknik DOS ini, maka dari
itu nama serangannya smurf. Smurf sebenarnya adalah serangan DOS yang menggunakan ICMP echo
dan mempunyai kemiripan serangan dengan "fraggle".

------------
Bahan Bahan
------------

1. Windows OS
   a. koneksi internet
   b. program winsmurf (ini cari sendiri ach)
   c. list broadcast (ada attachmentnya dibawah tapi cuman dikit dan ngga jamin masih idup
      yach)
   d. sedikit pengetahuan ttg bahasa inggris :)
   e. target ( ini ngga mutlak! jangan dipake buat isengin orang)

2. Linux OS (belom coba di varian laennya dari UNIX) <- lebih mantap nih!
   a. Shell (udah pasti ke install lah)
   b. Script smurf.c (ada dibawah)
   c. Scanner Broadcast server (kita pake nmap aja yach...)
   d. Kelengkapan untuk complie *.c (gcc aja udah cukup)
   e. Koneksi Internet
   f. tambahin sendiri

-----------
Cara Kerja
-----------

smurf bekerja dimulai dari sebuah serangan yang mengirimkan 'aliran' data ke Internet
Control Message Protocol (ICMP), atau ping -paket yang dipake buat ngecek apakah sebuah
server itu idup atau ngga-. Dimana server yang dimintai keterangan adalah server dengan
open broadcast yang membawahi subnetwork dibawahnya yang merupakan satu grup *.255.
Gampangnya gini..kalau tuh broadcast server di 'ping' maka yang merespon adalah SEMUA grup
dari server itu. Nah..teknik ini digabungkan dengan spoffing ip...jadi kita mem'ping'
broadcast server menggunakan ip dari target kita, sehingga respon dari broadcast +
networknya akan di'lapor'kan ke alamat target kita.

Sebagai contoh..saya menggunakan Cablevision access yang katanya sih 64kbps (kalau di cek
ngga pernah tuh sampe segitu heuheuhe) berarti 42 64-byte ping paket bisa terkirim tiap
detiknya
kalau sepenuhnya diterima oleh broadcast server ini bisa menjadi 10,626 paket, atau
sekitar 5.2Mbits data perdetik..bayangin tuh! dengan keadaan ini maka target dengan
koneksi T1 akan crash!!

---------------
SKEMA SERANGAN       
---------------

                                seluruh broadcast
                             yang menerima spoof
                            ping dari target akan   
|---------|                |----------------|        me-reply ping tersebut   |-------|
|Penyerang|---spoofing-- > |Broadcast server|------ bayangkan berapa banyak -|target |
|---------|               |----------------|       server yang merespon :)  |-------|
    |                       |                            |
    |                   |                                            | 
202.153.253.**      Menerima Ping untuk xxx.xxx.xxx.255               63.149.**.***(crash)
                          dari 63.149.**.***
                                   |
                   |
             |----------|----------|----------|----------|
    Broadcast   Broadcast Broadcast Broadcast  Broadcast
         network     network   network   network    network
                                   |            
                                   |
         |----------|----------|----------|----------|
    Broadcast   Broadcast Broadcast Broadcast  Broadcast
         network     network   network   network    network


---------
SOLUSI
---------

Sampai artikel ini diturunkan, secara teknis smurf attack ini belom bisa di atasi dari
pihak target dengan cara mempatch software anda..lah? terus gimana? ehm..dari pihak server
sih mungkin bisa...ini adalah solusi untuk server server gede agar tidak mengizinkan
adanya ping boardcast..
cara yang saya berikan dibawah ini didapat digunakan diserver yang menggunakan operation
system linux (belom dicoba ke server dengan OS laen) dengan cara mengaktifkan
'icmp_echo_ignore_broadcasts' dengan cara mengubah valuenya menjadi '1' file ini adanya di
/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

berarti commandnya

# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

atau edit file /etc/sysctl.conf dan mengubah value menjadi '1'

net.ipv4.icmp_echo_ignore_broadcasts = 1 <- valuenya jadi '1'

lalu gunakan command

# sysctl -w  (untuk menjalankan perubahan yang sudah dilakukan)

ya..saya cuman bisa kasih saran itu ke system admin..keamanan adalah ditangan anda, dan
satu hal yang paling penting...JANGAN PERNAH MELAKUKAN PERBUATAN YANG MERUGIKAN ORANG
LAEN!!!



#SaMuRai_HaCK