LA Atac de ștrumf este un tip de atac Denial-of-Service (DOS) în care un atacator exploatează pachetele de protocol de control al mesajelor de internet (ICMP). Atacul apare atunci când un atacator trimite un flux masiv de pachete echo_request ICMP falsificate către victima țintă.
Acest articol va afla despre cum este executat un atac Smurf și cât de multe daune poate provoca un atac Smurf unei rețele. Articolul va descrie, de asemenea, măsurile preventive împotriva unui atac de Smurf.
fundal
Lumea online a cunoscut dezvoltarea primului atac Smurf în anii 1990. În 1998, de exemplu, Universitatea din Minnesota a suferit un atac Smurf, care a durat peste 60 de minute, ceea ce a dus la închiderea câtorva dintre computerele sale și la blocarea generală a serviciului de rețea.
Atacul a provocat un blocaj cibernetic care a influențat și restul Minnesota, inclusiv Rețeaua regională Minnesota (MRNet) . Ulterior, Clienții MRNet , care includea companii private, 500 de organizații și colegii, au fost, de asemenea, influențate.
Smurf Attack
Un număr mare de pachete ICMP falsificate sunt legate de adresa IP a victimei, deoarece sursa IP este construită de un atacator cu intenția de a le difuza în rețeaua utilizatorului vizat folosind o adresă de difuzare IP.
Intensitatea cu care atacul Smurf deranjează traficul real al unei rețele corespunde cantității de gazde din mijlocul organizației serverului de rețea. De exemplu, o rețea de difuzare IP cu 500 de gazde va crea 500 de reacții pentru fiecare solicitare falsă Echo. Rezultatul planificat este de a handicapa sistemul vizat, făcându-l inoperabil și inaccesibil.
Smurf DDoS Attack și-a primit numele cunoscut dintr-un instrument de exploatare numit Smurf; utilizate pe scară largă în anii '90. Micile pachete ICMP produse de instrument au provocat o mare răsucire pentru un accident, rezultând în formarea numelui de Strumf.
Tipuri de atacuri de ștrumfi
Atac de bază
Un atac de bază Smurf are loc atunci când organizația unei victime se încheie între un ICMP care solicită pachete. Pachetele se împrăștie și fiecare dispozitiv care face legătura cu rețeaua țintă din organizație ar răspunde apoi pachetelor ICMP echo_request, aducând o mare cantitate de trafic și, eventual, întrerupând rețeaua.
Atac avansat
Aceste tipuri de atacuri au aceeași metodologie de bază ca atacurile principale. Lucrul care diferă în acest caz este că cererea de ecou își configurează sursele pentru a reacționa la o victimă terță parte.
Victima terță va primi apoi cererea de ecou care a început de la subrețeaua țintă. Prin urmare, hackerii accesează cadrele care sunt asociate cu obiectivul lor unic, împiedicând un subgrup mai mare de web decât ceea ce ar fi putut fi conceput, în cazul în care își restrângeau extensia la o singură victimă.
Lucru
În timp ce pachetele ICMP pot fi utilizate într-un atac DDoS, de obicei servesc poziții importante în organizarea rețelei. De obicei, managerii de rețea sau de difuzare folosesc aplicația ping, care utilizează pachete ICMP pentru a evalua dispozitivele hardware asamblate precum PC-uri, imprimante etc.
Un ping este frecvent utilizat pentru a testa funcționarea și eficiența unui dispozitiv. Se estimează timpul necesar unui mesaj pentru a merge în jurul dispozitivului de destinație de la sursă și înapoi la dispozitivul sursă. Deoarece convenția ICMP exclude strângerile de mână, dispozitivele care primesc cereri nu pot confirma dacă solicitările primite provin sau nu dintr-o sursă legitimă.
Metaforic, imaginați-vă o mașină care transportă greutatea cu o limită fixă de greutate; dacă va transporta mai mult decât capacitatea sa, cu siguranță va înceta să funcționeze normal sau complet.
Într-un scenariu general, gazda A trimite o invitație ICMP Echo (ping) către gazda B, declanșând o reacție programată. Timpul necesar pentru ca o reacție să se dezvăluie este folosit ca parte a îndepărtării virtuale în mijlocul ambelor gazde.
În cadrul unei organizații de difuzare IP, o cerere de ping este trimisă tuturor gazdelor rețelei, stimulând o reacție din partea tuturor sistemelor. Cu atacurile Smurf, entitățile rău intenționate exploatează această capacitate pentru a intensifica traficul pe serverul lor țintă.
- Programele malware Smurf fabrică un pachet falsificat care are adresa IP sursă setată la adresa IP originală a victimei.
- Pachetul este apoi trimis la o adresă de difuzare IP a unui server de rețea sau a unui firewall, care apoi trimite un mesaj de solicitare către fiecare adresă de gazdă din cadrul organizației serverului de rețea, extinzând numărul de solicitări în funcție de cantitatea de dispozitive aranjate din organizație.
- Fiecare dispozitiv conectat din organizație primește mesajul solicitat de la serverul de rețea și apoi revine la adresa IP falsificată a victimei printr-un pachet ICMP Echo Reply.
- În acel moment, victima se confruntă cu un flux de pachete ICMP Echo Reply, devenind probabil copleșită și restricționând accesul traficului legitim la rețea.
Efecte de atac de ștrumf
Impactul cel mai evident cauzat de un atac Smurf este dărâmarea serverului unei corporații. Face blocajul traficului pe Internet, ceea ce face sistemul victimei incapabil să producă rezultate. Se poate concentra asupra unui utilizator sau se poate completa ca o acoperire pentru un atac mai dăunător, cum ar fi furtul de informații personale și private.
Luând în considerare toate acestea, impactul unui atac Smurf asupra unei asociații include:
- Pierderea finanțelor : Întrucât întreaga organizație se relaxează sau se închide, activitatea unei organizații se oprește.
- Pierderea de informații : După cum sa menționat, un atac de Smurf poate implica, de asemenea, că atacatorii vă iau informațiile. Le permite să exfiltreze informații în timp ce sunteți implicat în gestionarea atacului DoS.
- Rău pentru statură : O încălcare a informațiilor este costisitoare, atât în ceea ce privește numerarul, cât și în funcție de statură. Clienții își pot pierde încrederea în asociația dvs., deoarece datele confidențiale pe care le-au încredințat își pierd confidențialitatea și integritatea.
Prevenirea atacului ștrumfului
Pentru a preveni atacurile Smurf, filtrarea traficului de intrare poate fi utilizată pentru a analiza toate pachetele care se deplasează înspre interior. Li se va refuza sau li se va permite intrarea în cadru, în funcție de autenticitatea antetului pachetului lor.
Firewall-ul poate fi, de asemenea, reconfigurat pentru a bloca ping-urile formatate dintr-o rețea din afara rețelei serverului.
Concluzie
Un atac Smurf este un atac de consum de resurse care încearcă să inunde ținta cu un număr mare de pachete ICMP falsificate. Cu intenția rău intenționată de a utiliza toată lățimea de bandă disponibilă. Ca urmare, nu mai există lățime de bandă pentru utilizatorii disponibili.