Smurf

Diagrama de atac a Schtrumului.

Smurf este un tip de atac pe internet care vizează provocarea unui refuz de serviciu , supraîncărcând computerul victimei cu numeroase mesaje de la multe alte noduri din rețea, ca răspuns la solicitările false care sunt transmise ca solicitări ale victimei.

Numele provine de la numele în limba engleză al ștrumfilor și se referă la faptul că mulți agenți mici împreună pot obține un rezultat mare.

Operațiune

O adresă IP unică este asociată cu fiecare nod conectat la rețea. Structura protocolului IP nu împiedică falsificarea adreselor IP, acest lucru permite oricărui nod să genereze un pachet cu o adresă IP expeditor arbitrară. În consecință, este posibil să trimiteți un pachet IP din propriul nod, utilizând adresa IP a unei a doua mașini din rețea. Un tip de cerere de informații a protocolului de diagnosticICMP (Internet Control Message Protocol) permite trimiterea de cereri de ecou (ECHO_REQUEST) pentru a:

Determinați dacă este posibilă comunicarea la nivel IP între două noduri
Verificați dacă există un nod într-o rețea
Calculați în termeni de timp distanța dintre două noduri

Atacul Smurf permite trimiterea pachetelor ICMP ECHO_REQUEST (tip 8), denumite în general pings , cu o adresă de expeditor falsificată și corespunzătoare adresei IP a computerului „victimă” ( țintă ), către o serie de gateway-uri .

Gateway-ul configurat greșit primește ping-ul și îl direcționează către toate nodurile conectate la subrețeaua sa, care va trimite un pachet de răspuns ECHO_REPLY (tip 0) la adresa IP a expeditorului. Într-o rețea de difuzare cu acces multiplu (cum ar fi rețelele furnizorului) sute de mașini conectate ar putea răspunde la fiecare pachet ^[1] .

Adresele destinate gateway-ului sunt, în general, cele cu porțiunea dedicată gazdei cu toți biții setați la 1. De exemplu, adresa IP de difuzare a rețelei 10.0.0.0 este 10.255.255.255.

În general, atacul ștrumf este eficient folosind numeroase gateway-uri. Prin urmare, susținătorii atacului au nevoie de o listă de difuzare ( amplificator smurf ), în general fișiere text care conțin o listă de adrese IP corespunzătoare gateway-urilor configurate greșit prezente în rețea. Acest atac, datorită faptului că „amplifică” cantitatea de date folosită de atacator, face parte din așa-numitele atacuri de amplificare .

Această tehnică permite să genereze mult trafic, mai ales având în vedere că mesajele ICMP sunt încapsulate într-o datagramă IP, care permite inserarea datelor opționale, iar în cazul cererilor de ecou (ECHO_REQUEST), astfel de date vor fi reproduse în răspuns mesaje.

Nodul victimei (țintă) va primi un flux de pachete ICMP de la numeroase adrese IP. Efectele acestui atac apar în:

Saturația lățimii de bandă disponibile și deci deconectarea conexiunilor TCP
Deconectarea de la rețea în conexiuni analogice
Crash de firewall-uri software
Crash de sisteme de operare învechite

Istorie

Atacul Smurf s-a răspândit online la sfârșitul anilor 1990. Atacatorii au urmărit în general să inunde servere IRC și numeroși utilizatori conectați la acestea, adesea pentru a deține un canal IRC ( preluare ); acest lucru se datorează faptului că cei mai utilizați demoni IRC nu au permis opțiunea de a masca adresele IP ale utilizatorilor conectați, lăsând aceste adrese vizibile în mod eficient utilizatorului. Alte fenomene de criminalitate cibernetică prin smurf s-au produs pentru a aduce un server în perioadele de nefuncționare (de asemenea, servere destinate găzduirii de site-uri web, furnizori de servicii shell etc.), pentru a face acest server inaccesibil în rețea.

Până în prezent, atacul ștrumf este încă posibil, în ciuda numărului drastic scăzut de gateway-uri configurate prost, acest lucru datorită și numeroaselor companii de routere care au dezactivat difuzarea pachetelor ICMP pe produsele lor de rețea în mod implicit.

Difuzie

Difuzare pe Microsoft Windows

Un program Smurf pentru sistemele de operare Windows de către grupul italian de hackeri Netangels.

Inițial, programul care permitea atacul ștrumfului era un software open source scris în C pentru sisteme de operare de tip unix ( standard Posix ), cum ar fi Linux sau BSD . Într-un al doilea moment, urmând schema de construcție a pachetului ICMP și algoritmul utilizat pentru atac, au fost create diverse programe, astfel încât să permită atacuri de ștrumfi chiar pornind de la sistemul de operare Microsoft Windows.

Numeroase programe software care au permis atacul ștrumf au fost incluse în bazele de date ale celui mai cunoscut antivirus de pe piață, pentru a limita răspândirea atacurilor și pentru a descuraja atacatorii înșiși.

Atacul a fost posibil pe sistemele de operare Microsoft până la lansarea Service Pack 2 pentru Windows XP , al cărui patch a dezactivat efectiv capacitatea de a crea sockets RAW și, prin urmare, de a manipula pachete IP. Din acel moment nu a mai fost posibil să se gestioneze falsificarea mesajelor ICMP și oricine ar fi vrut să încerce să folosească ștrumf oricum ar fi fost victima propriului atac.

Difuzare pe Linux

Primul smurfer real pentru Linux este considerat Papasmurf, un program scris în limbajul C , publicat pe 28 iulie 1998 ca software open source , creat de hackerul TFreak, membru al grupului roothell și promovat de portalul de securitate IT PacketStorm Security. Până în prezent, Papasmurf lucrează încă la sistemele de operare GNU / Linux.

Acest program a fost abuzat de lameri și copii de scenariu .

Lista de difuzare

Pe parcursul evoluției internetului au existat mai multe site-uri și echipe care au raportat liste de rețele prost configurate sau rețele ale căror gateway-uri permiteau difuzarea pachetelor ICMP. Cel mai faimos este Netscan.org, care este acum inactiv, care a furnizat liste în numeroase formate de text. Încă activă este Powertech, furnizorul și compania de consultanță IT din Norvegia, care scanează rețeaua pentru a găsi erori în rețele și oferă informații despre listele de difuzare punând la dispoziție o bază de date SAR ( Smurf Amplifiers Registry ).

Contramăsuri

Amplificatoare Smurf

Client

Calculatoarele individuale aparținând unei rețele pot fi protejate de a deveni amplificatoare ale atacurilor de ștrumfi, pur și simplu prin setarea blocării pachetelor ICMP primite, în consecință acestea nu vor mai răspunde la niciun ping.

Numeroase firewall-uri software (inclusiv cel inclus în Windows) încorporează deja această caracteristică în mod implicit.

Router

Configurați routerul pentru a nu redirecționa pachetele prin difuzare. Din 1999, standardul de difuzare pe routere a fost schimbat astfel încât pachetele să nu mai fie direcționate către toate nodurile de rețea ^[2] Este posibil să se limiteze lățimea de bandă care urmează să fie alocată serviciului ICMP, astfel încât să scadă amplificarea prin activarea CAR ( Committed Acces Rate ) prezent pe IOS începând cu versiunea 11.1CE.

Pentru a nu fi folosit de terți pentru amplificarea unui atac de ștrumf în vechile routere Cisco , comanda de aplicat care evită rutare pachetelor difuzate este:

 fără ip direcționat - difuzat

În cele mai recente versiuni de IOS, această funcție este activată în mod implicit.

O posibilă soluție pentru subrețeaua căreia îi aparține nodul atacator ar putea fi filtrarea pachetelor pentru a verifica apartenența la subrețea ^[3] .

Linux

Pentru a împiedica un sistem de operare bazat pe GNU / Linux să răspundă la solicitările de difuzare ECHO, puteți activa paravanul de protecție la nivelul nucleului folosind comanda:

 iptables

O protecție bună se obține prin instalarea modulului kernel AngeL (care previne generarea de pachete cu numeroase atacuri DoS) de către echipa Sikurezza.org

Unix

Pe sistemele de operare bazate pe Unix trebuie să dezactivați punând un # înaintea numelui:

 ecou 
chargen

în cale:

 / etc / inetd / conf

Victimă

În orice caz, un firewall este în general inutil în timpul unei inundații: deși pachetele în exces sunt scăzute, lățimea de bandă disponibilă este la fel de saturată. Este practic posibil cu colaborarea ISP-ului unei rețele din care provin atacurile să se efectueze o investigație „inversă”, trecând prin ISP-urile diferitelor gateway-uri de tranzit pentru a identifica rețeaua inițială din care pachetele și adresa fizică (MAC) a pachetelor inițiale.

Denumiri alternative

Papasmurf
Vortex
WSmurf
NSA ( Network Saturation Attack )
Smurf2K
Winsmurf

Varianta UDP

O variantă a ștrumfului este, de asemenea, populară, care folosește UDP ( User Datagram Protocol ) în locul ICMP, cunoscut sub numele de Fraggle . Atacurile care utilizează protocolul UDP sunt utilizate deoarece generează mult trafic în rețea.

Notă

^ "CERT Advisory CA-1998-01 Smurf IP Denial-of-Service Attacks"
^ D. Senie, „Schimbarea implicită pentru difuzările direcționate în routere”, RFC 2644 , BCP 34
^ P. Ferguson și D. Senie, „Filtrarea intrării în rețea: înfrângerea atacurilor de refuz de serviciu care utilizează falsificarea adreselor sursă IP”, RFC 2827 , BCP 38

Elemente conexe

linkuri externe

BFI zine n.12 din 15.02.2003 , pe bfi.freaknet.org .
Modulul Sikurezza.org AngeL , pe sikurezza.org . Adus la 31 martie 2009 (arhivat din original la 6 aprilie 2009) .
Întrebări frecvente oficiale de la grupul de știri alt.hackers.cough.cough.cough ( Ahccc ) ( TXT ), la dreadnaut.altervista.org .
Codul sursă Papasmurf.c , la packetstormsecurity.org .
Powertech SAR , la powertech.no .
Bugtraq consiliere de către Tfreak - ENG , pe seclists.org .
Symantec Security Response ICMP Smurf Denial of Service - ENG , pe symantec.com . Adus la 4 mai 2019 (arhivat din original la 22 martie 2009) .

Portal de securitate IT

Portal telematic

[1] "CERT Advisory CA-1998-01 Smurf IP Denial-of-Service Attacks"

[2] D. Senie, „Schimbarea implicită pentru difuzările direcționate în routere”, RFC 2644 , BCP 34

[3] P. Ferguson și D. Senie, „Filtrarea intrării în rețea: înfrângerea atacurilor de refuz de serviciu care utilizează falsificarea adreselor sursă IP”, RFC 2827 , BCP 38

[1]

[2]

[3]