stringtranslate.com

Атака смурфиков

Атака Smurf — это распределенная атака типа «отказ в обслуживании» , при которой большое количество пакетов протокола управляющих сообщений Интернета (ICMP) с поддельным IP-адресом источника предполагаемой жертвы передаются в компьютерную сеть с использованием широковещательного IP- адреса . [1] Большинство устройств в сети по умолчанию ответят на это, отправив ответ на исходный IP-адрес. Если количество машин в сети, которые получают эти пакеты и отвечают на них, очень велико, компьютер жертвы будет перегружен трафиком. Это может замедлить работу компьютера жертвы до такой степени, что на нем станет невозможно работать.

История

Оригинальный инструмент для создания атаки Smurf был написан Дэном Мощуком (псевдоним TFreak) в 1997 году. [2] [3]

В конце 1990-х годов многие IP-сети могли участвовать в атаках Smurf, если их об этом просили (то есть они отвечали на запросы ICMP, отправленные на широковещательные адреса). Название происходит от идеи очень маленьких, но многочисленных нападающих, подавляющих гораздо более крупного противника (см. Смурфики ). Сегодня администраторы могут сделать сеть невосприимчивой к таким злоупотреблениям; поэтому очень немногие сети остаются уязвимыми для атак Smurf. [4]

Метод

Усилитель Смурфов — это компьютерная сеть, которую можно использовать при атаке Смурфов. Усилители Smurf усугубляют серьезность атаки Smurf, поскольку они настроены таким образом, что генерируют большое количество ответов ICMP жертве на поддельном IP-адресе источника.

В DDoS усиление — это степень увеличения пропускной способности исходного атакуемого трафика (с помощью усилителей Smurf) во время его передачи к компьютеру-жертве. Например, коэффициент усиления 100 означает, что злоумышленнику удастся создать трафик со скоростью 100 Мбит/с, используя всего лишь 1 Мбит/с собственной полосы пропускания. [5]

Если предположить, что для ослабления эффекта атаки Smurf не предпринимается никаких контрмер, именно это происходит в целевой сети с n активными хостами (которые будут отвечать на эхо-запросы ICMP). Пакеты эхо-запросов ICMP имеют поддельный адрес источника (цель Смурфиков) и адрес назначения (придурок; очевидный источник атаки). Оба адреса могут принимать две формы: одноадресную и широковещательную .

Форма двойной одноадресной рассылки сравнима с обычным пингом: эхо-запрос ICMP отправляется patsy (одиночный хост), который отправляет одиночный эхо-ответ ICMP (Smurf) обратно к цели (одиночный хост в исходном адресе). . Этот тип атаки имеет коэффициент усиления 1, что означает: только один Смурф за пинг.

Если целью является одноадресный адрес, а пунктом назначения — широковещательный адрес целевой сети, тогда все узлы в сети получат эхо-запрос. Взамен каждый из них ответит цели, поэтому цель завалена n смурфами. Коэффициент усиления = n . Если n мало, хост может быть затруднен, но не поврежден. Если n велико, хост может остановиться.

Если целью является широковещательный адрес, а объектом — одноадресный адрес, каждый хост в сети будет получать один Smurf за пинг, то есть коэффициент усиления равен 1 на хост, но для сети коэффициент усиления равен n . Как правило, сеть сможет справиться с этой формой атаки, если n не слишком велико.

Когда и адрес источника, и адрес назначения в исходном пакете установлены на широковещательный адрес целевой сети, ситуация начинает быстро выходить из-под контроля. Все хосты получают эхо-запрос, но все ответы на него снова передаются всем хостам. Каждый хост получит первоначальный пинг, транслирует ответ и получит ответ от всех n-1 хостов. Коэффициент усиления n для одного хоста и коэффициент усиления n 2 ​​для сети.

Эхо-запросы ICMP обычно отправляются раз в секунду. Ответ должен содержать содержание запроса; обычно несколько байт. Одиночный (двойной широковещательный) пинг сети со 100 хостами заставляет сеть обрабатывать 10 000 пакетов. Если полезная нагрузка пинг-запроса увеличена до 15 000 байт (или 10 полных пакетов в Ethernet ), то этот пинг приведет к тому, что сети придется обрабатывать 100 000 больших пакетов в секунду. Отправляйте больше пакетов в секунду, и любая сеть рухнет под нагрузкой. Это сделает любой хост в сети недоступным до тех пор, пока длится атака.

Эффект

Атака смурфов может вывести из строя серверы и сети. Пропускная способность сети связи может быть исчерпана, что приведет к параличу сети связи. [6]

смягчение последствий

Исправление двоякое:

  1. Настройте хосты и маршрутизаторы на игнорирование пакетов, адрес источника которых является широковещательным адресом; и
  2. Настройте маршрутизаторы так, чтобы они не пересылали пакеты, направленные на широковещательные адреса. До 1999 года стандарты требовали, чтобы маршрутизаторы пересылали такие пакеты по умолчанию. С тех пор стандарт по умолчанию был изменен, чтобы не пересылать такие пакеты. [7]

Интернет-провайдерам также важно реализовать входную фильтрацию , которая отклоняет атакующие пакеты на основе поддельного адреса источника. [8]

Смягчение последствий на маршрутизаторе Cisco

Пример настройки маршрутизатора, чтобы он не пересылал пакеты на широковещательные адреса для маршрутизатора Cisco :

Router(config-if)# no ip directed-broadcast[9]

(Этот пример не защищает сеть от того, чтобы стать целью атаки смурфов; он просто предотвращает участие сети в атаке смурфов.)

Фраггл-атака

Атака Fraggle (названа в честь существ из марионеточного сериала Fraggle Rock ) — разновидность атаки Smurf, при которой злоумышленник отправляет большой объем UDP- трафика на порты 7 ( Echo ) и 19 ( CHARGEN ). Она работает аналогично атаке Smurf в том смысле, что многие компьютеры в сети реагируют на этот трафик, отправляя трафик обратно на поддельный исходный IP-адрес жертвы, заполняя его трафиком. [10]

Fraggle.c, исходный код атаки, также был опубликован TFreak. [11]

Смотрите также

Рекомендации

  1. ^ Сунь, Фэй Сянь (2011). «Модель оценки риска атак смурфов, основанная на теории опасности». Ключевые инженерные материалы . 467–469: 515–521. doi : 10.4028/www.scientific.net/KEM.467-469.515. ISSN  1662-9795. S2CID  110045205.
  2. ^ "Тфрик". Хакепедия. 28 марта 2013 г. Проверено 13 ноября 2019 г.
  3. ^ Праматаров, Мартин (9 сентября 2021 г.). «Что такое Smurf DDoS-атака?». Блог ClouDNS . Проверено 15 сентября 2022 г.
  4. ^ Например, netscan.org (Веб-архив) показал 122 945 сломанных сетей по состоянию на 25 января 1999 г., но только 2417 по состоянию на 6 января 2005 г.
  5. ^ С. Кумар (5 июля 2007 г.). Кумар, Санджив (2007). «Усиление распределенной атаки типа «отказ в обслуживании» (DDoS) на основе Smurf в Интернете». Вторая международная конференция по мониторингу и защите Интернета (ICIMP 2007) . п. 25. дои :10.1109/ICIMP.2007.42. ISBN 978-0-7695-2911-0. S2CID  14876546 . Проверено 30 декабря 2020 г. {{cite book}}: |website=игнорируется ( помощь )
  6. ^ Хартанто, Шри (30 июля 2023 г.). Шри Хартанто. «Влияние атаки смурфов на веб-сервер в сети связи и ее предотвращение». Международный журнал устойчивых прикладных наук (IJSAS) . 1 (1): 35–46. ISSN  3025-5597.
  7. ^ Д. Сение (август 1999 г.). Изменение настроек по умолчанию для направленных широковещательных рассылок в маршрутизаторах. Сетевая рабочая группа. дои : 10.17487/RFC2644 . BCP 34. RFC 2644. Лучшая общая практика. Обновления RFC 1812.
  8. ^ Фергюсон, П.; Сение, Д. (май 2000 г.). Фильтрация сетевого входа: борьба с атаками типа «отказ в обслуживании», в которых используется подмена IP-адреса источника. IETF . дои : 10.17487/RFC2827 . BCP 38. RFC 2827. Лучшая общая практика.
  9. ^ «Руководство Cisco по защите от распределенных атак типа «отказ в обслуживании»» . Циско . Проверено 26 сентября 2019 г.
  10. Хендрик, Уильям (23 марта 2016 г.). «Атака фрагглов».
  11. ^ Аноним (2003). Максимальная безопасность. Издательство Самс. ISBN 978-0-672-32459-8.

Внешние ссылки