TOT Smurfen aanval is een type Denial-of-Service Attack (DOS) waarbij een aanvaller misbruik maakt van ICMP-pakketten (Internet Control Message Protocol). De aanval komt aan de oppervlakte wanneer een aanvaller een enorme stroom vervalste ICMP echo_request-pakketten naar het doelslachtoffer stuurt.
Dit artikel leert hoe een smurfenaanval wordt uitgevoerd en hoeveel schade een smurfenaanval kan aanrichten aan een netwerk. Het artikel beschrijft ook preventieve maatregelen tegen een smurfenaanval.
Achtergrond
De online wereld zag de ontwikkeling van de eerste Smurfen-aanval in de jaren negentig. In 1998 kreeg de Universiteit van Minnesota bijvoorbeeld te maken met een smurfaanval, die meer dan 60 minuten duurde, waardoor een paar van haar computers werden gesloten en de netwerkservice werd afgesloten.
De aanval veroorzaakte een cybercrash die ook de rest van Minnesota beïnvloedde, waaronder de Regionaal netwerk Minnesota (MRNet) . Vervolgens, Klanten van MRNet , waaronder particuliere bedrijven, 500 organisaties en hogescholen, werden eveneens beïnvloed.
Smurfen Aanval
Een groot aantal vervalste ICMP-pakketten is gekoppeld aan het IP-adres van het slachtoffer, aangezien het bron-IP is gebouwd door een aanvaller met de bedoeling deze naar het netwerk van de beoogde gebruiker uit te zenden met behulp van een IP-broadcast-adres.
De intensiteit waarmee de smurfenaanval het echte verkeer van een netwerk verstoort, komt overeen met de hoeveelheid hosts in het midden van de netwerkserverorganisatie. Een IP-uitzendnetwerk met 500 hosts zal bijvoorbeeld 500 reacties genereren voor elke nep-echo die erom vraagt. Het geplande resultaat is om het beoogde systeem te hinderen door het onbruikbaar en ontoegankelijk te maken.
De Smurf DDoS-aanval dankt zijn bekende naam aan een exploittool genaamd Smurf; in de jaren negentig algemeen gebruikt. De kleine ICMP-pakketten die door de tool werden geproduceerd, veroorzaakten een grote opschudding voor een slachtoffer, wat resulteerde in de naam Smurf.
Soorten smurfenaanvallen
Basisaanval
Een standaard Smurf-aanval vindt plaats wanneer de organisatie van een slachtoffer belandt tussen een ICMP-verzoekpakket. De pakketten verspreiden zich en elk apparaat dat verbinding maakt met het doelnetwerk in de organisatie, beantwoordt dan de ICMP echo_request-pakketten, wat veel verkeer teweegbrengt en mogelijk het netwerk uitschakelt.
Geavanceerde aanval
Dit soort aanvallen hebben dezelfde basismethodiek als de primaire aanvallen. Het ding dat in dit geval verschilt, is dat het echo-verzoek zijn bronnen configureert om te reageren op een slachtoffer van een derde partij.
Het slachtoffer van een derde partij krijgt dan het echo-verzoek dat is gestart vanaf het doelsubnet. Daarom hebben hackers toegang tot de kaders die zijn gekoppeld aan hun unieke doel, waardoor een grotere subset van het web wordt gehinderd dan mogelijk was geweest, in het geval dat ze hun uitbreiding tot één slachtoffer zouden beperken.
Werken
Hoewel ICMP-pakketten kunnen worden gebruikt bij een DDoS-aanval, vervullen ze doorgaans belangrijke functies in de netwerkorganisatie. Gewoonlijk gebruiken netwerk- of broadcastmanagers de ping-toepassing, die ICMP-pakketten gebruikt om geassembleerde hardwareapparaten zoals pc's, printers, enz. Te evalueren.
Een ping wordt vaak gebruikt om de werking en efficiëntie van een apparaat te testen. Het schat de tijd die een bericht nodig heeft om van de bron naar het doelapparaat te gaan en terug naar het bronapparaat. Aangezien de ICMP-conventie handshakes uitsluit, kunnen apparaten die verzoeken ontvangen niet bevestigen of de ontvangen verzoeken van een legitieme bron afkomstig zijn of niet.
Stel je metaforisch een gewichtdragende machine voor met een vaste gewichtslimiet; als het meer dan zijn capaciteit moet dragen, zal het zeker niet meer normaal of volledig werken.
In een algemeen scenario stuurt host A een ICMP Echo (ping)-uitnodiging naar host B, waardoor een geprogrammeerde reactie wordt geactiveerd. De tijd die nodig is voor een reactie om zich te openbaren, wordt gebruikt als onderdeel van de virtuele afstand tussen beide gastheren.
Binnen een IP-broadcastorganisatie wordt een ping-verzoek verzonden naar alle hosts van het netwerk, waardoor een reactie van alle systemen wordt gestimuleerd. Met Smurf-aanvallen maken kwaadwillende entiteiten gebruik van deze capaciteit om het verkeer op hun doelserver te intensiveren.
- Smurfenmalware fabriceert een vervalst pakket waarvan het bron-IP-adres is ingesteld op het oorspronkelijke IP-adres van het slachtoffer.
- Het pakket wordt vervolgens verzonden naar een IP-uitzendadres van een netwerkserver of firewall, die vervolgens een verzoekbericht verzendt naar elk hostadres binnen de netwerkserverorganisatie, waardoor het aantal verzoeken wordt uitgebreid met het aantal gearrangeerde apparaten in de organisatie.
- Elk gekoppeld apparaat binnen de organisatie krijgt het gevraagde bericht van de netwerkserver en telt vervolgens terug naar het vervalste IP-adres van het slachtoffer via een ICMP Echo Reply-pakket.
- Op dat moment ervaart het slachtoffer een stortvloed van ICMP Echo Reply-pakketten, die misschien overweldigd raken en de toegang van het legitieme verkeer tot het netwerk beperken.
Smurfenaanval effecten
De meest voor de hand liggende impact veroorzaakt door een Smurf-aanval is het afbreken van de server van een bedrijf. Het veroorzaakt een internetverkeersopstopping, waardoor het systeem van het slachtoffer niet meer in staat is om resultaten te produceren. Het kan zich richten op een gebruiker of het kan dienen als dekmantel voor een meer schadelijke aanval, zoals het stelen van persoonlijke en privé-informatie.
Dit alles in overweging nemend, omvatten de effecten van een Smurf-aanval op een vereniging:
- Verlies van financiën : Aangezien de hele organisatie achteruitgaat of wordt gesloten, stopt de activiteit van een organisatie.
- Verlies van informatie : Zoals vermeld, kan een Smurf-aanval ook inhouden dat de aanvallers uw informatie stelen. Het stelt hen in staat om informatie te exfiltreren terwijl u bezig bent met het beheren van de DoS-aanval.
- Schade aan gestalte : Een informatielek is duur, zowel qua geld als qua status. De klanten kunnen hun vertrouwen in uw vereniging verliezen, aangezien de vertrouwelijke gegevens die ze hebben toevertrouwd hun vertrouwelijkheid en integriteit verliezen.
Preventie van smurfenaanvallen
Om Smurf-aanvallen te voorkomen, kan filtering van inkomend verkeer worden gebruikt om alle pakketten die binnenkomen te analyseren. Ze zullen de toegang tot het framework worden geweigerd of toegestaan, afhankelijk van de authenticiteit van hun pakketheader.
Firewall kan ook opnieuw worden geconfigureerd om pings te blokkeren die zijn geformatteerd vanaf een netwerk buiten het servernetwerk.
Conclusie
Een Smurf-aanval is een aanval op het verbruik van hulpbronnen die het doelwit probeert te overspoelen met een groot aantal vervalste ICMP-pakketten. Met de kwaadaardige bedoeling om alle beschikbare bandbreedte op te gebruiken. Als gevolg hiervan is er geen bandbreedte meer voor beschikbare gebruikers.