Smurf-атаки и защита от них


Smurf-атаки, также известные как атаки направленной трансляцией, являются другой чрезвычайно популярной формой пакетных наводнений ddoS. Названные по имени известного инструмента, который реализует этот прием, Smurf-атаки полагаются на направленную трансляцию, чтобы создать для жертвы наводнение трафиком.

IP-адрес состоит из двух компонентов: адреса сети и адреса узла. Если узловая часть IP-адреса имеет двоичное значение со всеми единицами, то пакет предназначен для трансляции IP- адреса сети. Например, если сетевой IP-адрес равен 10.1.0.0 с маской подсети 255.255.0.0, то транслируемый IP-адрес для сети будет 10.1.255.255. Два числа «255» свидетельствуют, что узловая часть адреса состоит из 16 последовательных единиц, таким образом указывая, что это сообщение предназначено для трансляции по сети IP-адреса. Когда такой пакет послан в ЛВС, маршрутизатор, соединяющий данную ЛВС с внешним миром, получит его первым.

Маршрутизатор преобразует адреса третьего уровня (IP) в адреса второго уровня (MAC), отправляя этот пакет всем системам в ЛВС с помощью МАС-адреса FF:FF:FF:FF:FF:FF, составленного из единиц. Ethernet-сообщение на МАС-адрес из всех единиц, посланное в ЛВС, заставит каждую машину в ЛВС-адресате прочитать данное сообщение и ответить на него.

Рассмотрим обычный ping, ICMP-пакет «эхо-запроса». Пользователь может передать ping на трансляционный IP-адрес сети. Если маршрутизатор в сети адресата разрешает направленную трансляцию, он преобразует ping-пакет трансляции IP-уровня в трансляцию МАС-уровня таким образом, что все системы в ЛВС адресата его получат. После принятия этого сообщения все активные машины в ЛВС адресата посылают ping-ответ. Отправляя одиночный пакет мобильного трафика, мы можем получить много ответных пакетов (один от каждого компьютера в сети адресата, которая включает десятки, сотни или тысячи машин).

Теперь предположим, что начальный ping-запрос к сетевому трансляционному адресу радиопередачи имел подмененный IP-адрес источника. Все ping-ответы от всех машин сети будут направлены к очевидному источнику такого пакета, то есть на подмененный адрес. С ростом количества машин в сети, разрешающей направленную трансляцию, увеличивается и количество генерируемых ответных пакетов.

Атакующий в состоянии использовать описанную ситуацию для проведения Smurf-атаки. Он посылает ping-пакет по трансляционному адресу некоторой сети в Internet, которая будет принимать сообщения направленной трансляции и отвечать на них, играя роль Smurf-усилителя. Он обычно представляет собой неправильно сконфигурированную сеть, принадлежащую в Internet невинной третьей стороне. Атакующий подменяет адрес источника адресом жертвы, которую хочет затопить, и все ping-oтвeты направляются этой жертве. Если имеется 30 компьютеров, связанных с сетью усилителя, то атакующий вызовет отправку 30 пакетов, послав единственный пакет на этот усилитель.

Атакующий будет передавать на Smurf-усилитель пакет за пакетом. Если он генерирует пакеты, используя коммутируемую линию на скорости 56 Кбит/с, то он способен генерировать трафик приблизительно в 30 раз больший (1,68 Мбит/с) - достаточно, чтобы переполнить соединение Т1 между жертвой и Internet.

В отличие от SYN-наводнений, никакая очередь соединений не связана с протоколом сообщений ICMP, поэтому такое наводнение предотвращает законный доступ, поскольку задействована вся пропускная способность мишени. Конечно, сам Smurf-усилитель имеет соединение с Internet с фиксированной максимальной пропускной способностью, поэтому он генерирует только максимальный объем трафика. Однако применяя данную методику, атакующий быстро и легко создаст наводнение ICMP-пакетами на машине-мишени, причем пакеты удастся проследить до Smurf-усилителя, но не атакующего.

Имеется несколько инструментальных средств, которые позволяют провести атаку направленной трансляцией:

- Smurf - одно из самых ранних инструментальных средств для атаки направленной трансляцией посредством ICMP-наводнения;

- Fraggle - кузен Smurf, который вместо ICMP сосредоточивается на протоколе UDP Fraggle и отправляет пакеты на трансляционный IP-адрес с UDP-портом назначения, используемым тем сервисом, который будет посылать ответы, типа эхо-сервиса UDP (порт 7).

Когда эхо-сервис получает пакет, он просто возвращает ответ, содержащий те же данные, что и получил, - именно поэтому он называется «эхо». Применяя Fraggle, чтобы послать поток пакетов трансляционному IP-адресу на UDP-порте 7, все машины в сети будут отражать UDP-трафик, что приведет к эффекту усиления и наводнению; Papasmurf - комбинация Smurf- и Fraggle-атак.


Защита против Smurf-атак



Имеется множество методов защиты от Smurf. Как и с большинством атак пакетными наводнениями, в качестве первой защитной меры необходимо удостовериться в том, что ваши особо важные системы имеют адекватную пропускную способность и избыточные линии связи. Кроме того, если вы обнаружили, что ваша сеть - частая жертва Smurf, подумайте о фильтрации ICMP-сообщений в пограничном маршрутизаторе, хотя эта тактика затруднит прозвон ваших систем пользователями.

Также следует убедиться, что никто не сделает из вашей сети Smurf-усилитель, - для этого нужно обратиться на сайт Powertech и воспользоваться их формой для проверки сети. Если сеть уязвима, вы должны останавливать пакеты направленной трансляции в пограничном маршрутизаторе или брандмауэре.

На языке Cisco простая команда no ip directed-broadcast во внешнем маршрутизаторе предохранит вашу открытую сеть от принятия пакетов, посланных на адрес сетевой трансляции, а также помешает вашему маршрутизатору преобразовывать пакеты, отправленные на адрес IP-трансляции сети, в трансляцию МАС- уровня, тем самым сбрасывая все подобные запросы на входе в сеть и не давая использовать сеть как Smurf-усилитель.

Такая конфигурация принята по умолчанию в межсетевой операционной системе IOS 12.0 и выше, однако на маршрутизаторах Cisco с более ранними операционными системами и маршрутизаторах других изготовителей следует явно отключать направленную трансляцию для каждого интерфейса на маршрутизаторе.

Еще советуем:
  • Защита против дистанционного прекращения сервисов
  • Защита против локального истощения ресурсов
  • Защита от DDOS атак
  • Спуфинг
  • Безопасность компьютера: обман IDS