Smurf Attack 101: Historie, M.O., Konsekvenser

This post is also available in: English

Smurf Attack er en af de ældste, enkleste og mest effektive cyber-angreb, et, der kan trække mange ubehagelige konsekvenser for enhver målrettet virksomhed. Før vi forsøger at forstå, hvad et Smurf Attack er, må vi først forstå begreberne DoS og DDoS.

Denial-of-Service- eller Distributed Denial-of-Service-angreb forsøger generelt at gøre et netværks ressourcer utilgængelige for legitime brugere. Dette sker normalt ved at sende angreb til det fra flere punkter i netværket. DDoS-angreb kan klassificeres  som følger:

Flood attacks: I denne type angreb, sender flere kompromitterede enheder kaldet bots eller zombier, store mængder af trafik til et offers system. Oversvømmelsesangreb bruger pakker fra HTTP (HyperText Transfer Protocol), ICMP (Internet Control Message Protocol), UDP (User Datagram Protocol) eller SIP (Session Initiation Protocol).

Amplification attacks: disse angreb indebærer at zombier sender beskeder til en udsendt IP-adresse: “Dette princip vil medføre, at alle de systemer som undernettet når ved den udsendte adresse vil sende et svar til ofrets system.”

Coremelt attacks: som Shi Dong og Mudar Sarem forklarer, “i dette angreb, kan zombier opdeles i to grupper. Angriberen udpeger zombier til at kommunikere med zombier i en anden gruppe, som vil føre til at sende og modtage enorme data. Når kommunikationen sker, er det svært at spore dette angreb gennem legitime pakker. Faktisk, er angrebets mål ikke den eneste vært i dette Coremelt Attack, det er også zombierne, og ved at kommunikere med hinanden, skaber de en netværksoversvømmelse [16]. Når et så stort antal pakker sendes til den samme vært, destinations-IP-adresse og portnummeret. Så vil systemet til sidst gå ned. ”

TCP SYN-attack: I dette angreb bruger hackere  TCP-sårbarheder ved at sende et stort antal SYN-anmodninger til serveren. Dong og Sarem forklarer, hvorfor dette er besværligt: “Serveren svarer på anmodningen ved at sende SYN + ACK-pakker  og venter på ACK-pakken fra klienten. Lad os antage, at hackeren ikke sender ACK-pakken, og serveren venter på ikke-eksisterende ACK. Serverens begrænsede bufferkø bliver fuld, og de indgående gyldige anmodninger afvises.”

Authentication Server attack: Under denne type angreb, kontrollerer godkendelsesserveren angriberens falske signatur, og dermed forbruger den flere ressourcer, end det normalt ville gøre for at generere signaturen.

CGI Request angreb: denne form for angreb indebærer, at hackere sender et stort antal CGI-anmodninger – dette bruger ofrets CPU-cyklusser og ressourcer op.

Definitionen af Smurf Attacks

De mest almindelige typer af DDoS amplification angreb er Smurf Attack og Fraggle Attack.

Et Smurf Attack er en DDoS-formular, der gør computernetværk ubrugelige ved at udnytte sårbarheder i IP(Internet Protocol) og  ICMP  (Internet Control Message Protocols).

Det første Smurf Attack går tilbage til 1990’erne, da University of Minnesota blev målrettet i 1998. Minnesota Smurf Attack varede mere end en time og “startede en kædereaktion i hele staten, og lukkede nogle computere helt og i andre tilfælde forårsagede det tab af data og netværks slowdowns.”

Som Techslang siger, “Angrebet skabte et cyber trafikprop, der også påvirkede resten af Minnesota, herunder Minnesota Regional Network (MRNet), en af statens internetudbydere. Som følge heraf blev MRNets kunder, som omfattede små virksomheder, Fortune 500-virksomheder og universiteter, også berørt.”

Der er to typer af Smurf Attacks:

A. GRUNDLÆGGENDE

I Basic Smurf Attack, omfatter de tilsyneladende endeløse ICMP anmodningspakker en kilde adresse indstillet til udsendelsens adresse af målets netværk. Hvis disse pakker spredes korrekt, vil der være et ekko fra hver enkelt enhed på netværket, hvilket vil skabe den overvældende trafik, der normalt får systemerne til at gå ned.

B. AVANCERET

I tilfælde af Advanced Smurf Attack, svarer ekkoet på ICMP’ens anmodninger og kan konfigurere deres kilder, så de reagerer på tredjeparts ofre. På denne måde, kan hackere nå forskellige, større mål på én gang.

Lad os se præcis, hvordan Smurf Attack virker:

Et Smurf Attack består af 5 etaper:

1. For det første, en falsk Echo anmodning, der indeholder en spoof kilde IP der genereres gennem Smurf malware. Den spoofed IP er faktisk målets server adresse.
2. For det andet bruges et mellemliggende IP-udsendelsesnetværk til at sende anmodningen.
3. Derefter sendes anmodningen til alle netværksværter på netværket.
4. Under den næstsidste fase af et Smurf attack sender hver vært et ICMP-svar på den falske kildeadresse.
5. I den sidste fase, er mål serveren bragt ned, hvis der er nok ICMP svar videresendt.

Desuden, som Hang Chau nævner i sin artikel, Forsvar mod DoS / DDoS Angreb,”Smurf Attack bruger båndbredde forbrug for at deaktivere offersystemets netværksressourcer. Det fuldbyrder forbruget ved hjælp af forstærkning fra angriberens båndbredde. Hvis det forstærkende netværk har 100 maskiner, kan signalet forstærkes 100 gange, så angriberen med relativt lav båndbredde (såsom 56K modem) kan oversvømme og deaktivere et offer system med meget højere båndbredde (såsom T1-forbindelse). ”

Kilde: Forsvar mod DoS / DDoS angreb

Spekulerer du på, hvordan man opdager et smurf attack?

Din virksomheds netværksadministrator vil sandsynligvis indse temmelig hurtigt, du har været ramt af et Smurf Attack, da der er et par afslørende tegn på, at det peger i den retning: et Smurf Attack påvirker båndbredden, routeren og serveren, som sandsynligvis vil gå ned, hvilket sandsynligvis vil gøre at dit Support team får meget travlt med at forsøge at håndtere samtaler med vrede eller insisterende kunder.

Målet med et Smurf Attack kan være at gøre dit system ubrugeligt, men det kan også tjene som et dække for mere skadelige angreb, såsom at stjæle følsomme oplysninger. Uanset hvad, er konsekvenserne ens:

– indtægtstab – da hele netværket vil bremse eller blive lukket ned, vil selskabets drift blive afbrudt i en vis periode.

– Tab af data – det er ikke ualmindeligt for hackere at stjæle data, mens dit team travlt beskæftiger sig med DoS / DDoS angreb.

– skadet omdømme – husker du de vrede kunder jeg nævnte ovenfor? De kan give op på dine tjenester eller produkter, fordi de følsomme data,  de har betroet dig blev udsat.

Hvordan kan du forhindre et Smurf Attack?

Et Smurf Attack indebærer 3 spillere: hackeren, mellemmanden/forstærkeren og offeret. For at angrebet kan starte, skal mellemmanden lade en kildesposineret IP-pakke forlade sit netværk.

Derfor skal forebyggelse ske på to niveauer: du skal undgå at blive angrebet, og du skal undgå at blive brugt til at iværksætte et angreb.

For at undgå at være forstærkeren, bør du deaktivere IP-rettet udsendelse på routeren – dette vil nægte broadcast trafik til det interne netværk fra andre netværk. Du kan også forsøge at anvende et udgående filter på perimeterrouteren samt konfigurere værter og routere til ikke at svare på ICMP-ekkoanmodninger.

For at undgå at blive offer, skal du:

• have en forebyggelsesstrategi baseret på overvågning af trafiknetværk, der kan registrere eventuelle småting – f.eks. Kan dette hjælpe dig med at stoppe et Smurf Attack, før det begynder.
• Sørg for at beskytte dine servere med netværksfirewalls eller specialiserede firewalls til webapplikationer. Du kan prøve vores næste generations antivirus, Thor Vigilance Enterprise. Dens firewall kan hjælpe dig med at forhindre indgående angreb, mens AV bruger 4 faser af scanning (Lokal fil / Signatur & Registry Scanning; Cloudscanning i realtid. Sandbox og Backdoor Inspektion og Proces adfærdsbaseret scanning) for at opdage og identificere selv de mest avancerede trusler. Tilbyder Thor Vigilance Enterprise’s firewall også fuld styring af windows firewall samt enheds Isolation i tilfælde af større udbrud, og så gør den det muligt for IT at lukke afdelinger ned hurtigt, i henhold til NIST AC-7 Politikken vedrørende Autentificerings fiaskoer.
• Købe mere båndbredde. Du bør have nok båndbredde til at håndtere trafik pigge, der kan være resultatet af ondsindet aktivitet.
• Opbyg overflødighed. Dine servere skal spredes på tværs af flere datacentre og have et godt belastningsjusteringssystem til trafikdistribution. Datacentrene bør om muligt være i forskellige regioner i samme land eller endog i forskellige lande og bør forbindes med forskellige netværk.
• beskyt dine DNS-servere. Ud over at opbygge overflødighed kan du også prøve at flytte til en skybaseret DNS-udbyder, hvis tjenester er specielt designet med DDoS-forebyggelse for øje.

Simple standalone security solutions are no longer enough.

HEIMDAL® ENDPOINT DETECTION AND RESPONSE SOFTWARE

Is an innovative and enhanced multi-layered EDR security approach to organizational defense.

• Next-gen Antivirus & Firewall which stops known threats;
• DNS traffic filter which stops unknown threats;
• Automatic patches for your software and apps with no interruptions;
• Privileged Access Management and Application Control, all in one unified dashboard

Try it for FREE today 30-day Free Trial. Offer valid only for companies.

Afsluttende

Hverken tab af penge, eller brud på datasikkerheden og skader på omdømmet er noget, du ønsker for din virksomhed. Som det er tilfældet med stort set enhver cybersikkerheds trussel, der er derude, er forebyggelse den bedste strategi.

Uanset hvad du vælger, skal du huske, at Heimdal™ Security altid har din ryg, og at vores team er her for at hjælpe dig med at beskytte dit hjem og din virksomhed og for at skabe en cybersikkerhedskultur til gavn for alle, der ønsker at lære mere om det.

Skriv gerne en linje nedenfor, hvis du har kommentarer, spørgsmål eller forslag – vi lytter til dig og kan ikke vente med at høre din mening!

If you liked this post, you will enjoy our newsletter.

Get cybersecurity updates you'll actually want to read directly in your inbox.

I agree to have the submitted data processed by Heimdal Security according to the Privacy Policy