NA Šmoulí útok je typ útoku Denial-of-Service Attack (DOS), kde útočník využívá pakety protokolu ICMP (Internet Control Message Protocol). Útok se projeví, když útočník pošle na cílovou oběť masivní záplavu falešných ICMP echo_request paketů.
Tento článek se dozví o tom, jak je útok Šmoula prováděn a jak velké škody může Šmoulí útok způsobit síti. Článek také popíše preventivní opatření proti útoku Šmoula.
Pozadí
Online svět viděl vývoj prvního útoku Šmoulů v průběhu 90. let minulého století. V roce 1998 například University of Minnesota zažila útok Šmoula, který trval více než 60 minut, což způsobilo uzavření několika počítačů a obecné zablokování síťových služeb.
Útok způsobil kybernetický útlum, který také ovlivnil zbytek Minnesoty, včetně Regionální síť Minnesota (MRNet) . Následně, Zákazníci MRNet , který zahrnoval soukromé společnosti, 500 organizací a vysokých škol, byl rovněž ovlivněn.
Šmoulí útok
K IP adrese oběti je připojeno velké množství falešných ICMP paketů, protože zdrojovou IP vytváří útočník se záměrem vysílat je do sítě cíleného uživatele pomocí IP vysílací adresy.
Intenzita, se kterou útok Šmoula narušuje skutečný provoz v síti, odpovídá množství hostitelů uprostřed organizace síťového serveru. Například vysílací síť IP s 500 hostiteli vytvoří 500 reakcí na každý falešný požadavek Echo. Plánovaným výsledkem je znevýhodnění cíleného systému tím, že bude nefunkční a nedostupný.
Smurf DDoS Attack dostal své známé jméno podle exploitového nástroje s názvem Šmoula; široce využíván již v 90. letech minulého století. Malé ICMP pakety produkované tímto nástrojem způsobily velké neštěstí pro oběť, což vedlo k vytvoření jména Šmoula.
Druhy útoků Šmoula
Základní útok
K základnímu útoku Šmoulů dojde, když se organizace oběti ocitne mezi pakety žádostí ICMP. Pakety se rozptýlí a každé zařízení, které se propojí s cílovou sítí v organizaci, by pak odpovědělo na pakety ICMP echo_request, čímž by došlo k velkému provozu a potenciálnímu omezení sítě.
Pokročilý útok
Tyto druhy útoků mají stejnou základní metodiku jako primární útoky. Věc, která se v tomto případě liší, je, že echo-požadavek konfiguruje své zdroje tak, aby reagovaly na oběť třetí strany.
Oběť třetí strany poté obdrží požadavek na echo, který začal z cílové podsítě. Hackeři proto přistupují k rámcům, které jsou spojeny s jejich jedinečným cílem, což brání větší podmnožině webu, než by bylo možné si představit, v případě, že omezili jejich rozšíření na jednu oběť.
Pracovní
I když lze ICMP pakety použít při útoku DDoS, obvykle slouží důležitým pozicím v síťové organizaci. Správci sítě nebo vysílání obvykle používají aplikaci ping, která využívá pakety ICMP k vyhodnocení sestavených hardwarových zařízení, jako jsou počítače, tiskárny atd.
K testování funkčnosti a účinnosti zařízení se často používá příkaz ping. Odhaduje čas, za který zpráva přejde do cílového zařízení ze zdroje a zpět do zdrojového zařízení. Protože konvence ICMP vylučuje handshake, zařízení přijímající požadavky nemohou potvrdit, zda přijaté požadavky pocházejí z legitimního zdroje nebo ne.
Metaforicky si představte stroj na přenášení váhy s pevným hmotnostním limitem; pokud má nést více, než je jeho kapacita, určitě přestane fungovat normálně nebo úplně.
V obecném scénáři hostitel A odešle pozvánku ICMP Echo (ping) na hostitele B, čímž spustí naprogramovanou reakci. Čas potřebný k odhalení reakce se používá jako součást virtuální odlehlosti mezi oběma hostiteli.
V rámci organizace IP broadcast je požadavek na ping odeslán všem hostitelům sítě, což stimuluje reakci všech systémů. U útoků Šmoula škodlivé entity využívají tuto kapacitu k zesílení provozu na svém cílovém serveru.
- Šmoulinský malware vyrábí falešný paket, jehož zdrojová IP adresa je nastavena na původní IP adresu oběti.
- Paket je pak odeslán na IP vysílací adresu síťového serveru nebo brány firewall, která poté odešle zprávu s požadavkem na každou adresu hostitele uvnitř organizace síťového serveru, čímž se počet požadavků rozšíří o počet uspořádaných zařízení v organizaci.
- Každé propojené zařízení uvnitř organizace dostane požadovanou zprávu od síťového serveru a následně se přepočítá zpět na falešnou IP oběti prostřednictvím paketu ICMP Echo Reply.
- V tu chvíli oběť zažije záplavu paketů ICMP Echo Reply, možná bude zahlcena a omezí přístup legitimního provozu do sítě.
Efekty útoku Šmoula
Nejzjevnějším dopadem způsobeným útokem Šmoula je stržení serveru korporace. Způsobuje zácpu internetového provozu a úspěšně dělá systém oběti neschopným přinášet výsledky. Může se zaměřit na uživatele nebo se může použít jako krytí pro škodlivější útok, jako je krádež osobních a soukromých informací.
Vzhledem k tomu všemu dopady útoku Šmouly na asociaci zahrnují:
- Ztráta financí : Protože se celá organizace uvolní nebo se zavře, činnost organizace se zastaví.
- Ztráta informací : Jak je uvedeno, útok Šmoula může také znamenat, že útočníci berou vaše informace. Umožňuje jim to odfiltrovat informace, zatímco jste pohlceni řízením útoku DoS.
- Poškození postavy : Porušení informací je drahé, a to jak z hlediska hotovosti, tak i postavy. Klienti mohou ztratit důvěru ve vaše sdružení, protože důvěrná data, která svěřili, ztratí důvěrnost a integritu.
Prevence útoku Šmoulů
Aby se zabránilo útokům Šmoula, lze použít filtrování příchozího provozu k analýze všech paketů, které se pohybují příchozí. Bude jim odepřen nebo povolen vstup do rámce v závislosti na autentičnosti jejich záhlaví paketů.
Bránu firewall lze také překonfigurovat tak, aby blokovala příkazy ping formátované ze sítě mimo síť serveru.
Závěr
Šmoulí útok je útok na spotřebu zdrojů, který se snaží zaplavit cíl velkým počtem falešných ICMP paketů. Se zlovolným úmyslem využít veškerou dostupnou šířku pásma. V důsledku toho pro dostupné uživatele nezbývá žádná šířka pásma.