A Puffo attacco è un tipo di attacco Denial-of-Service (DOS) in cui un utente malintenzionato sfrutta i pacchetti ICMP (Internet Control Message Protocol). L'attacco emerge quando un utente malintenzionato invia un enorme flusso di pacchetti echo_request ICMP falsificati alla vittima bersaglio.
Questo articolo imparerà come viene eseguito un attacco Smurf e quanti danni può causare un attacco Smurf a una rete. L'articolo descriverà anche le misure preventive contro un attacco di Puffi.
Sfondo
Il mondo online ha visto lo sviluppo del primo attacco dei Puffi negli anni '90. Nel 1998, ad esempio, l'Università del Minnesota ha subito un attacco Smurf, che è andato avanti per oltre 60 minuti, provocando la chiusura di alcuni dei suoi computer e un blocco generale del servizio di rete.
L'attacco ha causato un blocco informatico che ha influenzato anche il resto del Minnesota, incluso il Rete regionale del Minnesota (MRNet) . Successivamente, I clienti di MRNet , che includeva aziende private, 500 organizzazioni e college, furono ugualmente influenzati.
Puffo attacco
Un gran numero di pacchetti ICMP contraffatti è collegato all'indirizzo IP della vittima poiché l'IP di origine è costruito da un utente malintenzionato con l'intento di trasmetterli alla rete dell'utente di destinazione utilizzando un indirizzo di trasmissione IP.
L'intensità con cui l'attacco Smurf disturba il traffico reale di una rete corrisponde alla quantità degli host al centro dell'organizzazione del server di rete. Ad esempio, una rete di trasmissione IP con 500 host creerà 500 reazioni per ogni falsa richiesta di Echo. Il risultato pianificato è quello di ostacolare il sistema mirato rendendolo inutilizzabile e inaccessibile.
L'attacco DDoS di Smurf ha preso il nome da uno strumento di exploit chiamato Smurf; ampiamente utilizzato negli anni '90. I piccoli pacchetti ICMP prodotti dallo strumento hanno causato un grande putiferio per una vittima, che ha portato alla formazione del nome Smurf.
Tipi di attacchi di puffo
Attacco base
Un attacco Smurf di base si verifica quando l'organizzazione di una vittima finisce tra i pacchetti di richieste ICMP. I pacchetti si disperdono e ogni dispositivo che si collega alla rete di destinazione sull'organizzazione risponderebbe ai pacchetti echo_request ICMP, generando una grande quantità di traffico e potenzialmente tagliando la rete.
Attacco avanzato
Questi tipi di attacchi hanno la stessa metodologia di base degli attacchi primari. La cosa che differisce in questo caso è che l'echo-request configura le sue fonti per reagire a una vittima di terze parti.
La vittima di terze parti riceverà quindi la richiesta di eco avviata dalla sottorete di destinazione. Pertanto, gli hacker accedono ai framework associati al loro unico obiettivo, ostacolando un sottoinsieme del web più grande di quanto sarebbe stato concepibile, nel caso in cui limitassero la loro estensione a una vittima.
Lavorando
Sebbene i pacchetti ICMP possano essere utilizzati in un attacco DDoS, in genere servono posizioni importanti nell'organizzazione della rete. Di solito, i gestori di rete o di trasmissione utilizzano l'applicazione ping, che utilizza pacchetti ICMP per valutare dispositivi hardware assemblati come PC, stampanti, ecc.
Un ping viene spesso impiegato per testare il funzionamento e l'efficienza di un dispositivo. Stima il tempo impiegato da un messaggio per raggiungere il dispositivo di destinazione dalla sorgente e tornare al dispositivo di origine. Poiché la convenzione ICMP esclude gli handshake, i dispositivi che ricevono le richieste non possono confermare se le richieste ricevute provengono da una fonte legittima o meno.
Metaforicamente, immagina una macchina per il trasporto di pesi con un limite di peso fisso; se deve trasportare più della sua capacità, sicuramente smetterà di funzionare normalmente o completamente.
In uno scenario generale, l'host A invia un invito ICMP Echo (ping) all'host B, innescando una reazione programmata. Il tempo impiegato da una reazione per rivelarsi viene utilizzato come parte della lontananza virtuale tra entrambi gli host.
All'interno di un'organizzazione di trasmissione IP, viene inviata una richiesta di ping a tutti gli host della rete, stimolando una reazione da parte di tutti i sistemi. Con gli attacchi Smurf, le entità maligne sfruttano questa capacità per intensificare il traffico sul server di destinazione.
- Il malware Smurf fabbrica un pacchetto contraffatto il cui indirizzo IP di origine è impostato sull'indirizzo IP originale della vittima.
- Il pacchetto viene quindi inviato a un indirizzo di trasmissione IP di un server di rete o firewall, che invia quindi un messaggio di richiesta a ciascun indirizzo host all'interno dell'organizzazione del server di rete, espandendo il numero di richieste della quantità di dispositivi disposti nell'organizzazione.
- Ogni dispositivo collegato all'interno dell'organizzazione riceve il messaggio richiesto dal server di rete e successivamente risponde all'IP contraffatto della vittima tramite un pacchetto ICMP Echo Reply.
- In quell'istante, la vittima sperimenta un'inondazione di pacchetti ICMP Echo Reply, forse venendo sopraffatta e limitando l'accesso del traffico legittimo alla rete.
Effetti dell'attacco puffo
L'impatto più evidente causato da un attacco Smurf è abbattere il server di una società. Crea un ingorgo nel traffico Internet, rendendo con successo il sistema della vittima incapace di produrre risultati. Può concentrarsi su un utente o può fungere da copertura per un attacco più dannoso come il furto di informazioni personali e private.
Considerando tutto ciò, gli impatti di un attacco Smurf su un'associazione includono:
- Perdita di finanze : poiché l'intera organizzazione viene rallentata o viene chiusa, l'attività di un'organizzazione si interrompe.
- Perdita di informazioni : Come indicato, un attacco Smurf può anche implicare che gli aggressori stiano prendendo le tue informazioni. Consente loro di esfiltrare le informazioni mentre sei impegnato nella gestione dell'assalto DoS.
- Danno alla statura : Una violazione delle informazioni è costosa, sia in termini di denaro che di statura. I clienti potrebbero perdere la loro fiducia nella vostra associazione poiché i dati riservati che hanno affidato perdono la loro riservatezza e integrità.
Prevenzione degli attacchi di puffo
Per prevenire gli attacchi Smurf, è possibile utilizzare il filtraggio del traffico in entrata per analizzare tutti i pacchetti in movimento in entrata. Verrà loro negato o consentito l'accesso al framework a seconda dell'autenticità dell'intestazione del pacchetto.
Il firewall può anche essere riconfigurato per bloccare i ping formattati da una rete esterna alla rete del server.
Conclusione
Un attacco Smurf è un attacco al consumo di risorse che cerca di inondare il bersaglio con un gran numero di pacchetti ICMP contraffatti. Con l'intenzione dannosa di utilizzare tutta la larghezza di banda disponibile. Di conseguenza, non è rimasta larghezza di banda per gli utenti disponibili.