Smurf attack что это
Немного о типах DDoS-атак и методах защиты
Согласно проведенным исследованиям, масштабы DDoS-атак выросли примерно в 50 раз за последние несколько лет. При этом злоумышленники «метят» как в локальные инфраструктуры, так и публичные облачные площадки, на которых сосредотачиваются решения клиентов.
«Успешно реализованные атаки имеют непосредственное влияние на бизнес клиентов и носят деструктивные последствия», – комментирует Даррен Ансти (Darren Anstee), представитель компании Arbor Networks, поставляющей решения для обеспечения безопасности в сетях.
При этом частота атак также увеличивается. В конце 2014 года их число составляло 83 тыс., а в первом квартале 2015 года цифра увеличилась до 126 тыс. Поэтому в нашем сегодняшнем материале мы бы хотели рассмотреть различные виды DDoS-атак, а также способы защиты от них.
/ Flickr / Kenny Louie / CC
DoS атака (Denial of Service – отказ в обслуживании) представляет собой бомбардировку серверов жертвы отдельными пакетами с подложным обратным адресом. Сбой в этом случае является результатом переполнения (забивания трафиком) арендуемой клиентом полосы либо повышенного расхода ресурсов на атакуемой системе.
Злоумышленники при этом маскируют обратный адрес, чтобы исключить возможность блокировки по IP. Если атака является распределённой и выполняется одновременно с большого количества компьютеров, говорят о DDoS-атаке. Давайте взглянем на несколько распространённых типов.
TCP SYN Flood
Цель атаки SYN Flood – вызвать перерасход ресурсов системы. На каждый входящий SYN-пакет система резервирует определенные ресурсы в памяти, генерирует ответ SYN+ACK, содержащий криптографическую информацию, осуществляет поиск в таблицах сессий и т. д. – то есть затрачивает процессорное время. Отказ в обслуживании наступает при потоке SYN Flood от 100 до 500 тыс. пакетов за секунду. А злоумышленник, имея хотя бы гигабитный канал, получает возможность направить поток до 1,5 млн пакетов в секунду.
Защита от типа атак SYN Flood осуществляется средствами DPI-систем, которые способны анализировать и контролировать проходящий через них трафик. Например, такой функционал предоставляет решение СКАТ от VAS Experts. Система сперва обнаруживает атаку по превышению заданного порога неподтвержденных клиентом SYN-запросов, а затем самостоятельно, вместо защищаемого сайта, на них отвечает. TCP-сессия организуется с защищаемых сайтов после подтверждения запроса клиентом.
Fragmented UDP Flood
Эта атака осуществляется фрагментированными UDP-пакетами небольшого размера, на анализ и сборку которых платформе приходится выделять ресурсы. Защиту от такого типа флуда тоже предоставляют системы глубокого анализа трафика, отбрасывая неактуальные для подзащитного сайта протоколы или ограничивая их по полосе. Например, для веб-сайтов рабочими протоколами являются HTTP, HTTPS – в этом случае неактуальные протоколы можно попросту исключить или ограничить по полосе.
Атака с использованием ботнета
Злоумышленники обычно стараются заполонить полосу жертвы большим количеством пакетов или соединений, перегружая сетевое оборудование. Такие объемные атаки проводятся с использованием множества скомпрометированных систем, являющихся частью боднет.
В этом примере (изображение выше), злоумышленник контролирует несколько «машин-зомби» для проведения атак. «Зомби» общаются с главной машиной по защищенному скрытому каналу, причем управление часто осуществляется по IRC, P2P-сетям и даже с помощью Twitter.
При проведении атаки такого типа пользователю нет нужды скрывать IP-адрес каждой машины, и благодаря большому числу участвующих в атаке компьютеров, такие действия ведут к значительной нагрузке на сайт. Причем обычно злоумышленники выбирают наиболее ресурсоемкие запросы.
Для защиты от ботнет-атак применяются различные поведенческие стратегии, задача которых – выявлять неожиданные отклонения и всплески трафика. Еще один вариант, который предлагает компания VAS Experts, – использование теста Тьюринга (странички с CAPTCHA).
В этом случае к работе с сайтом допускаются только те пользователи, которые удачно прошли проверку на «человечность». При этом страничка с капчей располагается на отдельном сервере, способном справиться с потоком запросов ботнета любого размера.
Также хотелось бы упомянуть об атаках, которые появились относительно недавно. Речь идет об атаках на IoT-устройства с целью их «захвата» и включения в ботнет для осуществления DDoS-атак.
Согласно отчету компании Symantec, 2015 год побил рекорды по числу атак на IoT, а в интернете появилось восемь новых семейств вредоносных программ. Атаки участились по ряду причин. Во-первых, многие умные устройства постоянно доступны из Сети, но при этом не обладают надежными средствами защиты – не позволяет вычислительная мощность. Более того, пользователи зачастую не обновляют программное обеспечение, только повышая риск взлома.
Злоумышленники используют простую тактику: сканируют все доступные IP-адреса и ищут открытые порты Telnet или SSH. Когда такие адреса найдены, они пытаются выполнить вход с помощью стандартного набора логинов и паролей. Если доступ к оборудованию получен, на него загружается файл скрипта (.sh), который подкачивает тело бота, запускает его и закрывает доступ к устройству, блокируя порты Telnet и внося изменения в iptables, чтобы исключить возможность перехвата системы другим червем.
Чтобы минимизировать риск или избежать взлома IoT-устройств, необходимо выполнить простых действий: отключить неиспользуемые сетевые функции устройства, отключить Telnet-доступ и обратиться к SSH, по возможности перейти на проводное соединение вместо Wi-Fi, а также регулярно проводить обновление программного обеспечения.
Smurf-атаки
Атакующий посылает поддельный пакет IСМР Echo по адресу широковещательной рассылки. При этом адрес источника пакета заменяется адресом жертвы, чтобы «подставить» целевую систему. Поскольку пакет Еcho послан по широковещательному адресу, все машины усиливающей сети возвращают жертве свои ответы. Послав один пакет IСМР в сеть из 100 систем, атакующий инициирует усиление DDoS-атаки в сто раз.
Чтобы предотвратить эффект усиления, специалисты по сетевой безопасности советуют запретить операции прямой широковещательной рассылки на всех граничных маршрутизаторах. Также дополнительно стоит установить в ОС режим «тихого» отбрасывания широковещательных эхо-пакетов IСМР.
DNS-атака с усилением
Атака с усилением – это наиболее распространенная DDoS-атака, использующая рекурсивные сервера имен. Она похожа на Smurf-атаку, только в этом случае злоумышленник посылает небольшие запросы на DNS resolver, как бы заставляя его отправлять ответы на подмененный адрес.
Что касается конкретного примера, то в феврале 2007 года был проведен ряд атак на корневые DNS-серверы, от работы которых напрямую зависит нормальное функционирование всей Сети. Популярные практики защиты от этого типа атак можно найти на сайте Cisco.
TCP Reset
TCP Reset выполняется путем манипуляций с RST-пакетами при TCP-соединении. RST-пакет – это заголовок, который сигнализирует о том, что необходимо переподключение. Обычно это используется в том случае, если была обнаружена какая-либо ошибка или требуется остановить загрузку данных. Злоумышленник может прерывать TCP-соединение, постоянно пересылая RST-пакет с валидными значениями, что делает невозможным установление соединение между источником и приемником.
Предотвратить этот тип атаки можно – необходимо мониторить каждый передаваемый пакет и следить, что последовательность цифр поступает в нужном порядке. С этим справляются системы глубокого анализа трафика.
Сейчас основной целью взлома устройств является организация DDoS-атак или причинение ущерба путем ограничения доступа пользователей к сайту в интернете. Поэтому сами операторы связи, интернет-провайдеры и другие компании, в том числе VAS Experts, также предлагают и организуют решения по защите от DDoS – мониторинг трафика в реальном времени для отслеживания аномалий и всплесков загруженности полосы, функцию Carrier Grade NAT, которая позволяет «спрятать» устройство абонента от злоумышленников, закрыв к нему доступ из интернета, а также другие интеллектуальные и даже самообучающиеся системы.
Дополнительное чтение по теме DPI (Deep packet inspection):
СОДЕРЖАНИЕ
История
Оригинальный смурф был написан Дэном Мощуком, также известным как TFreak.
В конце 1990-х многие IP-сети участвовали бы в атаках Smurf, если бы их запрашивали (то есть, они отвечали бы на запросы ICMP, отправленные на широковещательные адреса). Название происходит от идеи очень маленьких, но многочисленных нападающих, подавляющих гораздо более крупного противника (см. Смурфики ). Сегодня администраторы могут сделать сеть невосприимчивой к подобным злоупотреблениям; поэтому очень немногие сети остаются уязвимыми для атак Smurf.
Коэффициенты усиления атаки
Когда и источник, и адрес назначения в исходном пакете установлены на широковещательный адрес целевой сети, ситуация быстро выходит из-под контроля. Все хосты получают эхо-запрос, но все ответы на него снова транслируются на все хосты. Каждый хост получит начальный пинг, широковещательный ответ и ответ от всех n-1 хостов. Коэффициент усиления n для одного хоста, но коэффициент усиления n 2 для сети.
Эхо-запросы ICMP обычно отправляются раз в секунду. Ответ должен содержать содержание запроса; несколько байтов, обычно. Одиночный (двойной широковещательный) эхо-запрос к сети со 100 хостами заставляет сеть обрабатывать 10 000 пакетов. Если полезная нагрузка эхо-запроса увеличивается до 15 000 байтов (или до 10 полных пакетов в сети Ethernet ), то этот эхо-запрос заставит сеть обрабатывать 100 000 больших пакетов в секунду. Отправляйте больше пакетов в секунду, и любая сеть рухнет под нагрузкой. Это сделает любой хост в сети недоступным до тех пор, пока длится атака.
Смягчение
Смягчение на маршрутизаторе Cisco
Пример настройки маршрутизатора таким образом, чтобы он не пересылал пакеты на широковещательные адреса, для маршрутизатора Cisco :
Router(config-if)# no ip directed-broadcast
(Этот пример не защищает сеть от стать мишенью для атаки Smurf, она просто мешает сеть от участия в атаке Smurf.)
Фрагментная атака
Он работает очень похоже на атаку Smurf в том, что многие компьютеры в сети будут реагировать на этот трафик, отправляя трафик обратно на поддельный исходный IP-адрес жертвы, заполняя его трафиком.
Смотрите также
использованная литература
С. Кумар, «Усиление распределенных атак типа» отказ в обслуживании «(DDoS) в Интернете на основе Smurf, Вторая международная конференция по мониторингу и защите Интернета (ICIMP 2007), Сан-Хосе, Калифорния, США, 2007 г., стр. 25-25, doi : 10.1109 / ICIMP.2007.42.
СОДЕРЖАНИЕ
История
Оригинальный смурф был написан Дэном Мощуком, также известным как TFreak.
В конце 1990-х многие IP-сети участвовали бы в атаках Smurf, если бы их запрашивали (то есть, они отвечали бы на запросы ICMP, отправленные на широковещательные адреса). Название происходит от идеи очень маленьких, но многочисленных нападающих, подавляющих гораздо более крупного противника (см. Смурфики ). Сегодня администраторы могут сделать сеть невосприимчивой к подобным злоупотреблениям; поэтому очень немногие сети остаются уязвимыми для атак Smurf.
Коэффициенты усиления атаки
Когда и источник, и адрес назначения в исходном пакете установлены на широковещательный адрес целевой сети, ситуация быстро выходит из-под контроля. Все хосты получают эхо-запрос, но все ответы на него снова транслируются на все хосты. Каждый хост получит начальный пинг, широковещательный ответ и ответ от всех n-1 хостов. Коэффициент усиления n для одного хоста, но коэффициент усиления n 2 для сети.
Эхо-запросы ICMP обычно отправляются раз в секунду. Ответ должен содержать содержание запроса; несколько байтов, обычно. Одиночный (двойной широковещательный) эхо-запрос к сети со 100 хостами заставляет сеть обрабатывать 10 000 пакетов. Если полезная нагрузка эхо-запроса увеличивается до 15 000 байтов (или до 10 полных пакетов в сети Ethernet ), то этот эхо-запрос заставит сеть обрабатывать 100 000 больших пакетов в секунду. Отправляйте больше пакетов в секунду, и любая сеть рухнет под нагрузкой. Это сделает любой хост в сети недоступным до тех пор, пока длится атака.
Смягчение
Смягчение на маршрутизаторе Cisco
Пример настройки маршрутизатора таким образом, чтобы он не пересылал пакеты на широковещательные адреса, для маршрутизатора Cisco :
Router(config-if)# no ip directed-broadcast
(Этот пример не защищает сеть от стать мишенью для атаки Smurf, она просто мешает сеть от участия в атаке Smurf.)
Фрагментная атака
Он работает очень похоже на атаку Smurf в том, что многие компьютеры в сети будут реагировать на этот трафик, отправляя трафик обратно на поддельный исходный IP-адрес жертвы, заполняя его трафиком.
Смотрите также
использованная литература
С. Кумар, «Усиление распределенных атак типа» отказ в обслуживании «(DDoS) в Интернете на основе Smurf, Вторая международная конференция по мониторингу и защите Интернета (ICIMP 2007), Сан-Хосе, Калифорния, США, 2007 г., стр. 25-25, doi : 10.1109 / ICIMP.2007.42.
Смурф Атака
Из этой статьи вы узнаете, как выполняется атака Smurf и какой ущерб может нанести сеть Smurf. В статье также будут описаны профилактические меры против атаки смурфов.
Задний план
Интернет-мир стал свидетелем первой атаки Smurf в 1990-х годах. Например, в 1998 году Университет Миннесоты подвергся атаке Smurf, продолжавшейся более 60 минут, в результате чего были закрыты несколько его компьютеров и полностью заблокированы сетевые службы.
Атака вызвала кибер-тупик, который также повлиял на оставшуюся часть Миннесоты, включая региональную сеть Миннесоты (MRNet). Впоследствии клиенты MRNet, в том числе частные компании, 500 организаций и колледжей, также испытали влияние.
Смурф Атака
Большое количество поддельных пакетов ICMP связано с IP-адресом жертвы, поскольку исходный IP-адрес создается злоумышленником с намерением транслировать их в сеть целевого пользователя с использованием широковещательного IP-адреса.
Интенсивность, с которой атака Smurf нарушает подлинный трафик сети, соответствует количеству хостов в центре организации сетевого сервера. Например, широковещательная IP-сеть с 500 хостами будет создавать 500 реакций на каждый запрос фальшивого эха. Планируемый результат – ослабить целевую систему, сделав ее неработоспособной и недоступной.
DDoS-атака Smurf получила свое известное название от инструмента под названием Smurf; широко использовались еще в 1990-е годы. Маленькие пакеты ICMP, созданные этим инструментом, вызвали большой шум среди людей, в результате чего получилось название Smurf.
Типы смурф атак
Базовая атака
Базовая атака Smurf происходит, когда организация жертвы оказывается между пакетами запросов ICMP. Пакеты рассыпаются, и каждое устройство, которое соединяется с целевой сетью в организации, затем отвечает на пакеты ICMP echo_request, вызывая большой объем трафика и потенциально отключая сеть.
Продвинутая атака
Эти виды атак имеют ту же базовую методологию, что и первичные атаки. В этом случае отличается то, что эхо-запрос настраивает свои источники для реакции на стороннюю жертву.
Затем сторонняя жертва получит эхо-запрос, запущенный из целевой подсети. Следовательно, хакеры получают доступ к фреймворкам, связанным с их уникальной целью, препятствуя большему подмножеству сети, чем то, что можно было вообразить, в случае, если они ограничили свое расширение одной жертвой.
Работающий
Хотя пакеты ICMP могут использоваться в DDoS-атаке, обычно они занимают важные должности в сетевой организации. Обычно сетевые или широковещательные менеджеры используют приложение ping, которое использует пакеты ICMP для оценки собранных аппаратных устройств, таких как ПК, принтеры и т. д.
Пинг часто используется для проверки работы и эффективности устройства. Он оценивает время, которое требуется сообщению, чтобы перейти к целевому устройству от источника и обратно к исходному устройству. Поскольку соглашение ICMP исключает рукопожатия, устройства, получающие запросы, не могут подтвердить, получены ли запросы от законного источника или нет.
Образно представьте себе машину, работающую под тяжестью веса, с фиксированным пределом веса; если он должен нести больше, чем его вместимость, он наверняка перестанет нормально или полностью работать.
В общем случае хост A отправляет хосту B приглашение ICMP Echo (ping), вызывая запрограммированную реакцию. Время, необходимое для проявления реакции, используется как часть виртуальной удаленности между обоими хостами.
В рамках организации IP-вещания запрос ping отправляется на все узлы сети, вызывая реакцию всех систем. С помощью атак Smurf злоумышленники используют эту способность для увеличения трафика на своем целевом сервере.
Эффекты смурф атак
Наиболее очевидное воздействие, вызванное атакой Smurf, – это разрушение сервера корпорации. Он создает пробку в Интернете, успешно делая систему жертвы неспособной к выдаче результатов. Он может фокусироваться на пользователе или использоваться в качестве прикрытия для более вредоносных атак, таких как кража личной и частной информации.
Учитывая все это, влияние атаки Smurf на ассоциацию включает:
Предотвращение смурф атак
Чтобы предотвратить атаки Smurf, можно использовать фильтрацию входящего трафика для анализа всех входящих пакетов. Им будет запрещен или разрешен вход в структуру в зависимости от подлинности их заголовка пакета.
Брандмауэр также можно перенастроить, чтобы блокировать эхо-запросы, отформатированные из сети за пределами сети сервера.
Вывод
Атака Smurf – это атака с потреблением ресурсов, которая стремится залить цель большим количеством поддельных пакетов ICMP. Со злым намерением использовать всю доступную пропускную способность. В результате для доступных пользователей не остается полосы пропускания.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Smurf attack что это
Smurf-атаки, также известные как атаки направленной трансляцией, являются другой чрезвычайно популярной формой пакетных наводнений ddoS. Названные по имени известного инструмента, который реализует этот прием, Smurf-атаки полагаются на направленную трансляцию, чтобы создать для жертвы наводнение трафиком.
IP-адрес состоит из двух компонентов: адреса сети и адреса узла. Если узловая часть IP-адреса имеет двоичное значение со всеми единицами, то пакет предназначен для трансляции IP- адреса сети. Например, если сетевой IP-адрес равен 10.1.0.0 с маской подсети 255.255.0.0, то транслируемый IP-адрес для сети будет 10.1.255.255. Два числа «255» свидетельствуют, что узловая часть адреса состоит из 16 последовательных единиц, таким образом указывая, что это сообщение предназначено для трансляции по сети IP-адреса. Когда такой пакет послан в ЛВС, маршрутизатор, соединяющий данную ЛВС с внешним миром, получит его первым.
Маршрутизатор преобразует адреса третьего уровня (IP) в адреса второго уровня (MAC), отправляя этот пакет всем системам в ЛВС с помощью МАС-адреса FF:FF:FF:FF:FF:FF, составленного из единиц. Ethernet-сообщение на МАС-адрес из всех единиц, посланное в ЛВС, заставит каждую машину в ЛВС-адресате прочитать данное сообщение и ответить на него.
Рассмотрим обычный ping, ICMP-пакет «эхо-запроса». Пользователь может передать ping на трансляционный IP-адрес сети. Если маршрутизатор в сети адресата разрешает направленную трансляцию, он преобразует ping-пакет трансляции IP-уровня в трансляцию МАС-уровня таким образом, что все системы в ЛВС адресата его получат. После принятия этого сообщения все активные машины в ЛВС адресата посылают ping-ответ. Отправляя одиночный пакет мобильного трафика, мы можем получить много ответных пакетов (один от каждого компьютера в сети адресата, которая включает десятки, сотни или тысячи машин).
Теперь предположим, что начальный ping-запрос к сетевому трансляционному адресу радиопередачи имел подмененный IP-адрес источника. Все ping-ответы от всех машин сети будут направлены к очевидному источнику такого пакета, то есть на подмененный адрес. С ростом количества машин в сети, разрешающей направленную трансляцию, увеличивается и количество генерируемых ответных пакетов.
Атакующий в состоянии использовать описанную ситуацию для проведения Smurf-атаки. Он посылает ping-пакет по трансляционному адресу некоторой сети в Internet, которая будет принимать сообщения направленной трансляции и отвечать на них, играя роль Smurf-усилителя. Он обычно представляет собой неправильно сконфигурированную сеть, принадлежащую в Internet невинной третьей стороне. Атакующий подменяет адрес источника адресом жертвы, которую хочет затопить, и все ping-oтвeты направляются этой жертве. Если имеется 30 компьютеров, связанных с сетью усилителя, то атакующий вызовет отправку 30 пакетов, послав единственный пакет на этот усилитель.
В отличие от SYN-наводнений, никакая очередь соединений не связана с протоколом сообщений ICMP, поэтому такое наводнение предотвращает законный доступ, поскольку задействована вся пропускная способность мишени. Конечно, сам Smurf-усилитель имеет соединение с Internet с фиксированной максимальной пропускной способностью, поэтому он генерирует только максимальный объем трафика. Однако применяя данную методику, атакующий быстро и легко создаст наводнение ICMP-пакетами на машине-мишени, причем пакеты удастся проследить до Smurf-усилителя, но не атакующего.
Имеется несколько инструментальных средств, которые позволяют провести атаку направленной трансляцией:
На языке Cisco простая команда no ip directed-broadcast во внешнем маршрутизаторе предохранит вашу открытую сеть от принятия пакетов, посланных на адрес сетевой трансляции, а также помешает вашему маршрутизатору преобразовывать пакеты, отправленные на адрес IP-трансляции сети, в трансляцию МАС- уровня, тем самым сбрасывая все подобные запросы на входе в сеть и не давая использовать сеть как Smurf-усилитель.
Такая конфигурация принята по умолчанию в межсетевой операционной системе IOS 12.0 и выше, однако на маршрутизаторах Cisco с более ранними операционными системами и маршрутизаторах других изготовителей следует явно отключать направленную трансляцию для каждого интерфейса на маршрутизаторе.