TIL Smurfangrep er en type Denial-of-Service Attack (DOS) der en angriper utnytter pakker med internettkontrollmeldingsprotokoll (ICMP). Angrepet dukker opp når en angriper sender en massiv flom av falske ICMP echo_request -pakker til offeret.
Denne artikkelen vil lære om hvordan et Smurf -angrep utføres og hvor mye skade et Smurf -angrep kan forårsake et nettverk. Artikkelen vil også beskrive forebyggende tiltak mot et Smurf -angrep.
Bakgrunn
Den elektroniske verden så utviklingen av det første Smurf -angrepet på 1990 -tallet. I 1998 opplevde for eksempel University of Minnesota et Smurf -angrep, som pågikk i over 60 minutter, noe som førte til nedleggelse av noen få datamaskiner og en generell sperring av nettverkstjenesten.
Angrepet forårsaket en nettlås som også påvirket Minnesota 's resten, inkludert Minnesota regionale nettverk (MRNet) . I ettertid, MRNets kunder , som inkluderte private selskaper, 500 organisasjoner og høyskoler, ble også påvirket.
Smurfangrep
Et stort antall falske ICMP -pakker er knyttet til offerets IP -adresse ettersom kilde -IP -en er bygget av en angriper med den hensikt å kringkaste dem til den målrettede brukerens nettverk ved hjelp av en IP -kringkastingsadresse.
Intensiteten som Smurf -angrep forstyrrer den ekte trafikken til et nettverk, tilsvarer mengden av vertene i midten av nettverksserverorganisasjonen. For eksempel vil et IP -kringkastingsnettverk med 500 verter opprette 500 reaksjoner for hver falsk ekko. Det planlagte resultatet er å deaktivere det målrettede systemet ved å gjøre det ubrukelig og utilgjengelig.
Smurf DDoS Attack fikk sitt kjente navn fra et utnyttelsesverktøy kalt Smurf; stort sett brukt på 1990 -tallet. De små ICMP -pakkene produsert av verktøyet forårsaket et stort ruckus for et havari, noe som resulterte i dannelse av navnet Smurf.
Typer smurfangrep
Grunnleggende angrep
Et grunnleggende Smurf -angrep skjer når en offerorganisasjon havner mellom en ICMP -forespørsel om pakker. Pakkene spres, og hver enhet som kobler seg til målnettverket i organisasjonen, vil deretter svare på ICMP echo_request -pakkene, noe som vil føre til mye trafikk og potensielt kutte nettverket.
Avansert angrep
Slike angrep har samme grunnleggende metodikk som de primære angrepene. Det som er forskjellig i dette tilfellet er at ekkoforespørselen konfigurerer kildene til å reagere på et tredjepartsofre.
Tredjepartsofferet vil da få ekkoforespørselen som startet fra målundernettet. Derfor får hackere tilgang til rammene som er knyttet til deres unike mål, noe som hindrer en større delmengde av nettet enn det som kunne ha vært tenkelig, i tilfelle de begrenset utvidelsen til én person.
Jobber
Selv om ICMP -pakker kan brukes i et DDoS -angrep, tjener de vanligvis viktige stillinger i nettverksorganisasjonen. Vanligvis bruker nettverks- eller kringkastingsledere ping -applikasjonen, som bruker ICMP -pakker til å evaluere monterte maskinvareenheter som PCer, skrivere, etc.
En ping brukes ofte for å teste funksjonen og effektiviteten til en enhet. Den anslår tiden det tar en melding å gå til destinasjonsenheten fra kilden og tilbake til kildeenheten. Siden ICMP -konvensjonen utelukker håndtrykk, kan enheter som mottar forespørsler ikke bekrefte om forespørslene som mottas er fra en legitim kilde eller ikke.
Forestill deg metaforisk en vektbærende maskin med en fast vektgrense; Hvis den skal bære mer enn kapasiteten, vil den sikkert slutte å fungere normalt eller helt.
I et generelt scenario sender vert A en ICMP Echo (ping) invitasjon til vert B og setter i gang en programmert reaksjon. Tiden det tar før en reaksjon avslører seg, brukes som en del av den virtuelle avstanden mellom begge vertene.
Innenfor en IP -kringkastingsorganisasjon sendes en ping -forespørsel til alle nettverkets verter, noe som stimulerer en reaksjon fra alle systemene. Med Smurf -angrep utnytter ondsinnede enheter denne kapasiteten til å intensivere trafikken på målserveren.
- Smurf -malware produserer en forfalsket pakke som har sin kilde -IP -adresse satt til den opprinnelige IP -adressen til offeret.
- Pakken blir deretter sendt til en IP -kringkastingsadresse til en nettverksserver eller brannmur, som deretter sender en forespørselsmelding til hver vertsadresse i nettverksserverorganisasjonen, og utvider antallet forespørsler med mengden ordnede enheter i organisasjonen.
- Hver koblet enhet i organisasjonen får den forespurte meldingen fra nettverksserveren og går deretter tilbake til offerets forfalskede IP gjennom en ICMP Echo Reply -pakke.
- I det øyeblikket opplever offeret en flom av ICMP Echo Reply -pakker, som kanskje blir overveldet og begrenser tilgangen til den legitime trafikken til nettverket.
Smurfangrepseffekter
Den tydeligste virkningen forårsaket av et Smurf -angrep er å rive serveren til et selskap. Det gjør en internettstrafikk, og gjør offerets system ikke i stand til å produsere resultater. Det kan fokusere på en bruker, eller det kan fylle ut som et deksel for et mer skadelig angrep som å stjele personlig og privat informasjon.
Med tanke på alt dette inkluderer virkningene av et Smurf -angrep på en forening:
- Tap av økonomi : Siden hele organisasjonen går ned eller blir stengt, stopper en organisasjons aktivitet.
- Tap av informasjon : Som nevnt kan et Smurf -angrep på samme måte antyde at angriperne tar informasjonen din. Det lar dem eksfiltrere informasjon mens du er oppslukt av å håndtere DoS -angrepet.
- Skader på statur : Et informasjonsbrudd er dyrt, både når det gjelder kontanter og vekst. Kundene kan miste tilliten til foreningen din ettersom de konfidensielle dataene de har betrodd mister konfidensialiteten og integriteten.
Smurfangrep forebygging
For å forhindre Smurf -angrep kan innkommende trafikkfiltrering brukes til å analysere alle pakker som beveger seg innover. De vil bli nektet eller tillatt adgang til rammeverket, avhengig av ektheten til pakkeoverskriften.
Brannmur kan også omkonfigureres til å blokkere pings som er formatert fra et nettverk utenfor servernettverket.
Konklusjon
Et Smurf -angrep er et ressursforbruksangrep som søker å oversvømme målet med et stort antall falske ICMP -pakker. Med den ondsinnede hensikten å bruke all tilgjengelig båndbredde. Som et resultat er det ingen båndbredde igjen for tilgjengelige brukere.