Атака смурфиков

Атака Smurf — это распределенная атака типа «отказ в обслуживании» , при которой большое количество пакетов протокола управляющих сообщений Интернета IP-адресом источника предполагаемой жертвы (ICMP) с поддельным передаются в компьютерную сеть с использованием широковещательного IP- адреса . ^[1] Большинство устройств в сети по умолчанию ответят на это, отправив ответ на исходный IP-адрес. Если количество машин в сети, которые получают эти пакеты и отвечают на них, очень велико, компьютер жертвы будет перегружен трафиком. Это может замедлить работу компьютера жертвы до такой степени, что на нем станет невозможно работать.

История [ править ]

Оригинальный инструмент для создания атаки Smurf был написан Дэном Мощуком (псевдоним TFreak) в 1997 году. ^[2]^[3]

В конце 1990-х годов многие IP-сети могли участвовать в атаках Smurf, если их об этом просили (то есть они отвечали на запросы ICMP, отправленные на широковещательные адреса). Название происходит от идеи очень маленьких, но многочисленных нападающих, подавляющих гораздо более крупного противника (см. Смурфики ). Сегодня администраторы могут сделать сеть невосприимчивой к таким злоупотреблениям; поэтому очень немногие сети остаются уязвимыми для атак Smurf. ^[4]

Метод [ править ]

Усилитель Смурфов — это компьютерная сеть, которую можно использовать при атаке Смурфов. Усилители Smurf усугубляют серьезность атаки Smurf, поскольку они настроены таким образом, что генерируют большое количество ответов ICMP жертве на поддельном IP-адресе источника.

В DDoS усиление — это степень расширения полосы пропускания, которому подвергается исходный атакуемый трафик (с помощью усилителей Smurf) во время его передачи к компьютеру-жертве. Например, коэффициент усиления 100 означает, что злоумышленнику удастся создать трафик со скоростью 100 Мбит/с, используя всего лишь 1 Мбит/с собственной полосы пропускания. ^[5]

Если предположить, что для ослабления эффекта атаки Smurf не предпринимается никаких контрмер, именно это происходит в целевой сети с n активными хостами (которые будут отвечать на эхо-запросы ICMP).Пакеты эхо-запросов ICMP имеют поддельный адрес источника (цель Смурфов) и адрес назначения (придурок; очевидный источник атаки). Оба адреса могут принимать две формы: одноадресную и широковещательную .

Форма двойной одноадресной рассылки сравнима с обычным пингом: эхо-запрос ICMP отправляется на patsy (один хост), который отправляет один эхо-ответ ICMP (Smurf) обратно к цели (один хост в исходном адресе). . Этот тип атаки имеет коэффициент усиления 1, что означает: только один Смурф за пинг.

Если целью является одноадресный адрес, а пунктом назначения — широковещательный адрес целевой сети, тогда все узлы в сети получат эхо-запрос. В свою очередь каждый из них ответит цели, поэтому цель завалена n смурфами. Коэффициент усиления = n . Если n мало, хост может быть затруднен, но не поврежден. Если n велико, хост может остановиться.

Если целью является широковещательный адрес, а объектом — одноадресный адрес, каждый хост в сети получит один Smurf за пинг, то есть коэффициент усиления равен 1 на хост, но коэффициент усиления равен n для сети . Как правило, сеть сможет справиться с этой формой атаки, если n не слишком велико.

Когда и адрес источника, и адрес назначения в исходном пакете установлены на широковещательный адрес целевой сети, ситуация начинает быстро выходить из-под контроля. Все хосты получают эхо-запрос, но все ответы на него снова передаются всем хостам. Каждый хост получит первоначальный пинг, транслирует ответ и получит ответ от всех n-1 хостов. Коэффициент усиления n для одного хоста, но коэффициент усиления n ² для сети.

Эхо-запросы ICMP обычно отправляются раз в секунду. Ответ должен содержать содержание запроса; обычно несколько байт. Одиночный (двойной широковещательный) пинг сети со 100 хостами заставляет сеть обрабатывать 10 000 пакетов. Если полезная нагрузка пинг-запроса увеличена до 15 000 байт (или 10 полных пакетов в Ethernet ), то этот пинг заставит сеть обрабатывать 100 000 больших пакетов в секунду. Отправляйте больше пакетов в секунду, и любая сеть рухнет под нагрузкой. Это сделает любой хост в сети недоступным до тех пор, пока длится атака.

Эффект [ править ]

Атака смурфов может привести к перегрузке серверов и сетей. Пропускная способность сети связи может быть исчерпана, что приведет к параличу сети связи. ^[6]

Смягчение [ править ]

Исправление двоякое:

Настройте хосты и маршрутизаторы так, чтобы они игнорировали пакеты, адрес источника которых является широковещательным адресом; и
Настройте маршрутизаторы так, чтобы они не пересылали пакеты, направленные на широковещательные адреса. До 1999 года стандарты требовали, чтобы маршрутизаторы пересылали такие пакеты по умолчанию. С тех пор стандарт по умолчанию был изменен, чтобы не пересылать такие пакеты. ^[7]

Интернет-провайдерам также важно реализовать входную фильтрацию , которая отклоняет атакующие пакеты на основе поддельного адреса источника. ^[8]

Смягчение последствий на маршрутизаторе Cisco [ править ]

Пример настройки маршрутизатора, чтобы он не пересылал пакеты на широковещательные адреса для маршрутизатора Cisco :

Router(config-if)# no ip directed-broadcast^[9]

(Этот пример не защищает сеть от того, чтобы стать целью сети атаки смурфов; он просто предотвращает участие в атаке смурфов.)

Фраггл-атака [ править ]

Атака Fraggle (названа в честь существ из марионеточного сериала Fraggle Rock ) — разновидность атаки Smurf, при которой злоумышленник отправляет большой объем UDP- трафика на порты 7 ( Echo ) и 19 ( CHARGEN ). Она работает аналогично атаке Smurf в том смысле, что многие компьютеры в сети будут реагировать на этот трафик, отправляя трафик обратно на поддельный исходный IP-адрес жертвы, заполняя его трафиком. ^[10]

Fraggle.c, исходный код атаки, также был опубликован TFreak. ^[11]

См. также [ править ]

Ссылки [ править ]

^ Сунь, Фэй Сянь (2011). «Модель оценки риска атак смурфов на основе теории опасности» . Ключевые инженерные материалы . 467–469: 515–521. doi : 10.4028/www.scientific.net/KEM.467-469.515 . ISSN 1662-9795 . S2CID 110045205 .
^ «Тфрик» . Хакепедия. 28 марта 2013 г. Проверено 13 ноября 2019 г.
^ Праматаров, Мартин (9 сентября 2021 г.). «Что такое Smurf DDoS-атака?» . Блог ClouDNS . Проверено 15 сентября 2022 г.
^ Например, netscan.org (Веб-архив) показал 122 945 сломанных сетей по состоянию на 25 января 1999 г., но только 2417 по состоянию на 6 января 2005 г.
^ С. Кумар (5 июля 2007 г.). Кумар, Санджив (2007). «Усиление распределенной атаки типа «отказ в обслуживании» (DDoS) на основе Smurf в Интернете» . Вторая международная конференция по мониторингу и защите Интернета (ICIMP 2007) . п. 25. дои : 10.1109/ICIMP.2007.42 . ISBN 978-0-7695-2911-0 . S2CID 14876546 . Проверено 30 декабря 2020 г. {{cite book}}: |website= игнорируется ( помогите )
^ Хартанто, Шри (30 июля 2023 г.). «Влияние атаки смурфов на веб-сервер в сети связи и ее предотвращение» . Международный журнал устойчивых прикладных наук (IJSAS) . 1 (1). Шри Хартанто: 35–46. ISSN 3025-5597 .
^ Д. Сение (август 1999 г.). Изменение настроек по умолчанию для направленных широковещательных рассылок в маршрутизаторах . Сетевая рабочая группа. дои : 10.17487/RFC2644 . BCP 34. RFC 2644 . Лучшая общая практика. Обновления РФК 1812 .
^ Фергюсон, П.; Сение, Д. (май 2000 г.). Фильтрация сетевого входа: борьба с атаками типа «отказ в обслуживании», в которых используется подмена IP-адреса источника . IETF . дои : 10.17487/RFC2827 . BCP 38. RFC 2827 . Лучшая общая практика.
^ «Руководство Cisco по защите от распределенных атак типа «отказ в обслуживании»» . Циско . Проверено 26 сентября 2019 г.
^ Хендрик, Уильям (23 марта 2016 г.). «Атака фраглов» .
^ Аноним (2003). Максимальная безопасность . Издательство Самс. ISBN 978-0-672-32459-8 .

Внешние ссылки [ править ]

Последние атаки типа «отказ в обслуживании»: «Смурфинг» , Крейг А. Хьюген, 1997 г.

[1] Сунь, Фэй Сянь (2011). «Модель оценки риска атак смурфов на основе теории опасности» . Ключевые инженерные материалы . 467–469: 515–521. doi : 10.4028/www.scientific.net/KEM.467-469.515 . ISSN 1662-9795 . S2CID 110045205 .

[2] «Тфрик» . Хакепедия. 28 марта 2013 г. Проверено 13 ноября 2019 г.

[3] Праматаров, Мартин (9 сентября 2021 г.). «Что такое Smurf DDoS-атака?» . Блог ClouDNS . Проверено 15 сентября 2022 г.

[4] Например, netscan.org (Веб-архив) показал 122 945 сломанных сетей по состоянию на 25 января 1999 г., но только 2417 по состоянию на 6 января 2005 г.

[5] С. Кумар (5 июля 2007 г.). Кумар, Санджив (2007). «Усиление распределенной атаки типа «отказ в обслуживании» (DDoS) на основе Smurf в Интернете» . Вторая международная конференция по мониторингу и защите Интернета (ICIMP 2007) . п. 25. дои : 10.1109/ICIMP.2007.42 . ISBN 978-0-7695-2911-0 . S2CID 14876546 . Проверено 30 декабря 2020 г. {{cite book}}: |website= игнорируется ( помогите )

[6] Хартанто, Шри (30 июля 2023 г.). «Влияние атаки смурфов на веб-сервер в сети связи и ее предотвращение» . Международный журнал устойчивых прикладных наук (IJSAS) . 1 (1). Шри Хартанто: 35–46. ISSN 3025-5597 .

[rfc2644-7] Д. Сение (август 1999 г.). Изменение настроек по умолчанию для направленных широковещательных рассылок в маршрутизаторах . Сетевая рабочая группа. дои : 10.17487/RFC2644 . BCP 34. RFC 2644 . Лучшая общая практика. Обновления РФК 1812 .

[rfc2827-8] Фергюсон, П.; Сение, Д. (май 2000 г.). Фильтрация сетевого входа: борьба с атаками типа «отказ в обслуживании», в которых используется подмена IP-адреса источника . IETF . дои : 10.17487/RFC2827 . BCP 38. RFC 2827 . Лучшая общая практика.

[9] «Руководство Cisco по защите от распределенных атак типа «отказ в обслуживании»» . Циско . Проверено 26 сентября 2019 г.

[10] Хендрик, Уильям (23 марта 2016 г.). «Атака фраглов» .

[11] Аноним (2003). Максимальная безопасность . Издательство Самс. ISBN 978-0-672-32459-8 .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]