Атака смурфов

Тип атаки на компьютерную сеть

Атака Smurf — это распределенная атака типа «отказ в обслуживании» , при которой большое количество пакетов протокола управления сообщениями Интернета (ICMP) с поддельным исходным IP-адресом предполагаемой жертвы транслируется в компьютерную сеть с использованием широковещательного IP- адреса . ^[1] Большинство устройств в сети по умолчанию отвечают на это, отправляя ответ на исходный IP-адрес. Если количество машин в сети, которые получают и отвечают на эти пакеты, очень велико, компьютер жертвы будет перегружен трафиком. Это может замедлить работу компьютера жертвы до такой степени, что на нем станет невозможно работать.

История

Оригинальный инструмент для создания атаки Smurf был написан Дэном Мощуком (псевдоним TFreak) в 1997 году. ^{[2] [3]}

В конце 1990-х годов многие IP-сети участвовали в атаках Smurf, если их об этом просили (то есть они отвечали на запросы ICMP, отправленные на широковещательные адреса). Название происходит от идеи очень маленьких, но многочисленных злоумышленников, подавляющих гораздо более крупного противника (см. Smurfs ). Сегодня администраторы могут сделать сеть неуязвимой для таких злоупотреблений; поэтому очень немногие сети остаются уязвимыми для атак Smurf. ^[4]

Метод

Усилитель Smurf — это компьютерная сеть, которая подходит для использования в атаке Smurf. Усилители Smurf усиливают серьезность атаки Smurf, поскольку они настроены таким образом, что генерируют большое количество ответов ICMP жертве на поддельный исходный IP-адрес.

В DDoS усиление — это степень расширения полосы пропускания, которую претерпевает исходный трафик атаки (с помощью усилителей Smurf) во время его передачи на компьютер жертвы. Например, коэффициент усиления 100 означает, что злоумышленник может создать 100 Мбит/с трафика, используя всего 1 Мбит/с своей собственной полосы пропускания. ^[5]

При условии, что не будут приняты контрмеры для ослабления эффекта атаки Smurf, это то, что происходит в целевой сети с n активными хостами (которые будут отвечать на запросы ICMP echo). Пакеты запросов ICMP echo имеют поддельный адрес источника (цель Smurfs) и адрес назначения (patsy; очевидный источник атаки). Оба адреса могут иметь две формы: одноадресную и широковещательную .

Форма двойной одноадресной рассылки сравнима с обычным пингом: эхо-запрос ICMP отправляется патси (единственному хосту), который отправляет один эхо-ответ ICMP (Smurf) обратно цели (единственному хосту в исходном адресе). Этот тип атаки имеет коэффициент усиления 1, что означает: только один Smurf на пинг.

Когда цель — адрес одноадресной рассылки, а пункт назначения — широковещательный адрес сети цели, то все хосты в сети получат эхо-запрос. В ответ каждый из них ответит цели, так что цель будет завалена n Smurfs. Коэффициент усиления = n . Если n мало, хост может быть затруднен, но не парализован. Если n велико, хост может остановиться.

Если целью является широковещательный адрес, а patsy — одноадресный адрес, каждый хост в сети получит один Smurf на пинг, то есть коэффициент усиления 1 на хост, но коэффициент n для сети. Как правило, сеть может справиться с этой формой атаки, если n не слишком велико.

Когда и исходный, и целевой адрес в исходном пакете установлены на широковещательный адрес целевой сети, ситуация быстро выходит из-под контроля. Все хосты получают эхо-запрос, но все ответы на него снова транслируются всем хостам. Каждый хост получит начальный пинг, транслирует ответ и получит ответ от всех n-1 хостов. Коэффициент усиления n для одного хоста, но коэффициент усиления n ² ​​для сети.

Запросы ICMP echo обычно отправляются раз в секунду. Ответ должен содержать содержимое запроса; обычно несколько байт. Одиночный (двойной широковещательный) пинг в сеть со 100 хостами заставляет сеть обрабатывать 10 000 пакетов. Если полезная нагрузка пинга увеличивается до 15 000 байт (или 10 полных пакетов в Ethernet ), то этот пинг заставит сеть обрабатывать 100 000 больших пакетов в секунду. Отправляйте больше пакетов в секунду, и любая сеть рухнет под нагрузкой. Это сделает любой хост в сети недоступным до тех пор, пока длится атака.

Эффект

Атака Smurf может перегрузить серверы и сети. Пропускная способность сети связи может быть исчерпана, что приведет к ее параличу. ^[6]

Смягчение

Исправление состоит из двух частей:

1. Настройте хосты и маршрутизаторы так, чтобы они игнорировали пакеты, в которых адрес назначения является широковещательным адресом; и
2. Настройте маршрутизаторы так, чтобы они не пересылали пакеты, направленные на широковещательные адреса. До 1999 года стандарты требовали, чтобы маршрутизаторы пересылали такие пакеты по умолчанию. С тех пор стандарт по умолчанию был изменен, чтобы не пересылать такие пакеты. ^[7]

Также важно, чтобы интернет-провайдеры внедрили фильтрацию входящего трафика , которая отклоняет атакующие пакеты на основе поддельного исходного адреса. ^[8]

Смягчение последствий на маршрутизаторе Cisco

Пример настройки маршрутизатора таким образом, чтобы он не пересылал пакеты на широковещательные адреса (для маршрутизатора Cisco ):

Router(config-if)# no ip directed-broadcast^[9]

(Этот пример не защищает сеть от атаки Smurf; он просто предотвращает участие сети в атаке Smurf.)

Атака Фрэгглов

Атака Fraggle (названная в честь существ из кукольного сериала Fraggle Rock ) — это разновидность атаки Smurf, при которой злоумышленник отправляет большой объем UDP- трафика на порты 7 ( Echo ) и 19 ( CHARGEN ). Она работает аналогично атаке Smurf, поскольку многие компьютеры в сети будут реагировать на этот трафик, отправляя трафик обратно на поддельный исходный IP-адрес жертвы, заполняя его трафиком. ^[10]

Fraggle.c, исходный код атаки, также был опубликован TFreak. ^[11]

Смотрите также

• Атака типа «отказ в обслуживании»
• пинг-флуд
• Реестр усилителей Smurf

Ссылки

1. Сан, Фэй Сянь (2011). «Модель оценки риска на основе теории опасности для атак Smurf». Ключевые инженерные материалы . 467–469: 515–521. doi :10.4028/www.scientific.net/KEM.467-469.515. ISSN  1662-9795. S2CID  110045205.
2. "Tfreak". Hackepedia. 2013-03-28 . Получено 2019-11-13 .
3. Праматаров, Мартин (09.09.2021). «Что такое DDoS-атака Smurf?». Блог ClouDNS . Получено 15.09.2022 .
4. Например, netscan.org (веб-архив) показал 122 945 сломанных сетей по состоянию на 25 января 1999 года, но только 2417 по состоянию на 6 января 2005 года.
5. S. Kumar (5 июля 2007 г.). Kumar, Sanjeev (2007). "Распределенная атака типа "отказ в обслуживании" (DDoS) на основе Smurf-based в Интернете". Вторая международная конференция по мониторингу и защите Интернета (ICIMP 2007) . стр. 25. doi :10.1109/ICIMP.2007.42. ISBN 978-0-7695-2911-0. S2CID  14876546 . Получено 2020-12-30 . {{cite book}}: |website=проигнорировано ( помощь )
6. Хартанто, Шри (2023-07-30). «Влияние атаки Smurf на веб-сервер в коммуникационной сети и ее предотвращение». Международный журнал устойчивых прикладных наук (IJSAS) . 1 (1). Шри Хартанто: 35–46. ISSN  3025-5597.
7. Д. Сени (август 1999 г.). Изменение значения по умолчанию для направленных широковещательных рассылок в маршрутизаторах. Сетевая рабочая группа. doi : 10.17487/RFC2644 . BCP 34. RFC 2644. Лучшая общепринятая практика. Обновления RFC 1812.
8. Фергюсон, П.; Сени, Д. (май 2000 г.). Фильтрация входящего трафика в сети: борьба с атаками типа «отказ в обслуживании», использующими подмену исходного IP-адреса. IETF . doi : 10.17487/RFC2827 . BCP 38. RFC 2827. Лучшая общепринятая практика.
9. "Руководство Cisco по защите от распределенных атак типа "отказ в обслуживании"". Cisco . Получено 26.09.2019 .
10. Хендрик, Уильям (23 марта 2016 г.). «Атака Фрэгглов».
11. Аноним (2003). Максимальная безопасность. Sams Publishing. ISBN 978-0-672-32459-8.

Внешние ссылки

• Последние атаки типа «отказ в обслуживании»: «Смурфинг» , Крейг А. Хьюген, 1997.