smurf amplifier - was ist das?

Supportdatenbank (lmuelle_smurf_amplifier)
Bezieht sich auf

SuSE Linux: Versionen bis einschließlich 7.3

Symptom

Sie werden darauf hingewiesen, dass Ihr SuSE Linux System ein 'smurf amplifier' sei.

Ursache

Ihr System antwortet auf Internet Control Message Protocol-, ICMP-broadcast-Anfragen. Dies Verhalten ist eigentlch nicht weiter schlimm, jedoch kann es missbraucht werden. Dazu täuscht der Absender über die Herkunftsadresse des ICMP-Paketes. So richtet Ihr System die Antwort an den angeblichen Absender.

Eine FAQ mit detailierteren Informationen zu diesem Thema finden Sie z.B. unter http://www.ircnetops.org/smurf/faq.php

Im Betrieb können Sie mittels

cat /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
feststellen, wie Ihr System momentan konfiguriert ist.

Erhalten Sie als Ergebnis 0, so antwortet Ihr System auf ICMP broadcast-Anfragen und Sie sollten wie weiter unten im Text beschrieben vorgehen.

Wenn Sie 1 als Ergebnis erhalten, müssen Sie akut nichts unternehmen, sollten jedoch überprüfen, ob diese Konfiguration auch dauerhaft, z.B. wie weiter unten im Text beschrieben, gewährleistet ist.

Lösung

Im Betrieb können Sie das Verhalten mittels des Kommandos
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
ändern.

Damit diese Konfiguration dauerhaft wirksam wird, fügen Sie die komplette Zeile des echo-Kommando in die Datei boot.local ein. Sie finden sie bis SuSE Linux 7.0 im Verzeichnis /sbin/init.d/, bei neueren SuSE Linux Versionen in /etc/init.d/.


Stichwörter: INTERNET, SICHERHEIT, SPAM, MISSBRAUCH, ABUSE, ICMP, BROADCAST, SMURF

Kategorien: Internet

Feedback willkommen: Send Mail to lmuelle+sdb@suse.de (Geben Sie bitte folgendes Stichwort an: SDB-lmuelle_smurf_amplifier)
SDB-lmuelle_smurf_amplifier, Copyright SuSE Linux AG, Nürnberg, Germany - Version: 31. Okt 2001
SuSE Linux AG - Zuletzt generiert: 20. Nov 2001 von lmuelle (sdb_gen 1.40.0)