Атака Smurf — это распределенная атака типа «отказ в обслуживании» , при которой большое количество пакетов протокола управляющих сообщений Интернета (ICMP) с поддельным IP-адресом источника предполагаемой жертвы передаются в компьютерную сеть с использованием широковещательного IP- адреса . [1] Большинство устройств в сети по умолчанию ответят на это, отправив ответ на исходный IP-адрес. Если количество машин в сети, которые получают эти пакеты и отвечают на них, очень велико, компьютер жертвы будет перегружен трафиком. Это может замедлить работу компьютера жертвы до такой степени, что на нем станет невозможно работать.
Оригинальный инструмент для создания атаки Smurf был написан Дэном Мощуком (псевдоним TFreak) в 1997 году. [2] [3]
В конце 1990-х годов многие IP-сети могли участвовать в атаках Smurf, если их об этом просили (то есть они отвечали на запросы ICMP, отправленные на широковещательные адреса). Название происходит от идеи очень маленьких, но многочисленных нападающих, подавляющих гораздо более крупного противника (см. Смурфики ). Сегодня администраторы могут сделать сеть невосприимчивой к таким злоупотреблениям; поэтому очень немногие сети остаются уязвимыми для атак Smurf. [4]
Усилитель Смурфов — это компьютерная сеть, которую можно использовать при атаке Смурфов. Усилители Smurf усугубляют серьезность атаки Smurf, поскольку они настроены таким образом, что генерируют большое количество ответов ICMP жертве на поддельном IP-адресе источника.
В DDoS усиление — это степень увеличения пропускной способности исходного атакуемого трафика (с помощью усилителей Smurf) во время его передачи к компьютеру-жертве. Например, коэффициент усиления 100 означает, что злоумышленнику удастся создать трафик со скоростью 100 Мбит/с, используя всего лишь 1 Мбит/с собственной полосы пропускания. [5]
Если предположить, что для ослабления эффекта атаки Smurf не предпринимается никаких контрмер, именно это происходит в целевой сети с n активными хостами (которые будут отвечать на эхо-запросы ICMP). Пакеты эхо-запросов ICMP имеют поддельный адрес источника (цель Смурфиков) и адрес назначения (придурок; очевидный источник атаки). Оба адреса могут принимать две формы: одноадресную и широковещательную .
Форма двойной одноадресной рассылки сравнима с обычным пингом: эхо-запрос ICMP отправляется patsy (одиночный хост), который отправляет одиночный эхо-ответ ICMP (Smurf) обратно к цели (одиночный хост в исходном адресе). . Этот тип атаки имеет коэффициент усиления 1, что означает: только один Смурф за пинг.
Если целью является одноадресный адрес, а пунктом назначения — широковещательный адрес целевой сети, тогда все узлы в сети получат эхо-запрос. Взамен каждый из них ответит цели, поэтому цель завалена n смурфами. Коэффициент усиления = n . Если n мало, хост может быть затруднен, но не поврежден. Если n велико, хост может остановиться.
Если целью является широковещательный адрес, а объектом — одноадресный адрес, каждый хост в сети будет получать один Smurf за пинг, то есть коэффициент усиления равен 1 на хост, но для сети коэффициент усиления равен n . Как правило, сеть сможет справиться с этой формой атаки, если n не слишком велико.
Когда и адрес источника, и адрес назначения в исходном пакете установлены на широковещательный адрес целевой сети, ситуация начинает быстро выходить из-под контроля. Все хосты получают эхо-запрос, но все ответы на него снова передаются всем хостам. Каждый хост получит первоначальный пинг, транслирует ответ и получит ответ от всех n-1 хостов. Коэффициент усиления n для одного хоста и коэффициент усиления n 2 для сети.
Эхо-запросы ICMP обычно отправляются раз в секунду. Ответ должен содержать содержание запроса; обычно несколько байт. Одиночный (двойной широковещательный) пинг сети со 100 хостами заставляет сеть обрабатывать 10 000 пакетов. Если полезная нагрузка пинг-запроса увеличена до 15 000 байт (или 10 полных пакетов в Ethernet ), то этот пинг приведет к тому, что сети придется обрабатывать 100 000 больших пакетов в секунду. Отправляйте больше пакетов в секунду, и любая сеть рухнет под нагрузкой. Это сделает любой хост в сети недоступным до тех пор, пока длится атака.
Атака смурфов может вывести из строя серверы и сети. Пропускная способность сети связи может быть исчерпана, что приведет к параличу сети связи. [6]
Исправление двоякое:
Интернет-провайдерам также важно реализовать входную фильтрацию , которая отклоняет атакующие пакеты на основе поддельного адреса источника. [8]
Пример настройки маршрутизатора, чтобы он не пересылал пакеты на широковещательные адреса для маршрутизатора Cisco :
Router(config-if)# no ip directed-broadcast
[9](Этот пример не защищает сеть от того, чтобы стать целью атаки смурфов; он просто предотвращает участие сети в атаке смурфов.)
Атака Fraggle (названа в честь существ из марионеточного сериала Fraggle Rock ) — разновидность атаки Smurf, при которой злоумышленник отправляет большой объем UDP- трафика на порты 7 ( Echo ) и 19 ( CHARGEN ). Она работает аналогично атаке Smurf в том смысле, что многие компьютеры в сети реагируют на этот трафик, отправляя трафик обратно на поддельный исходный IP-адрес жертвы, заполняя его трафиком. [10]
Fraggle.c
, исходный код атаки, также был опубликован TFreak. [11]
{{cite book}}
: |website=
игнорируется ( помощь )