Как защитить свою организацию от хакерских Smurf-атак

Сказать, что кибербезопасность волнует сегодня многие организации, было бы преуменьшением, учитывая обширный спектр атак в пространстве. Кибербезопасность — это важнейшая проблема, которая, если оставить ее без внимания, может разрушить ваш бизнес.

Кибератака происходит, когда субъект угрозы со злым умыслом использует уязвимости в вашей системе. Целью атаки часто является кража, изменение, отключение, уничтожение или доступ к несанкционированным активам. Сегодня почти все современные компании работают с компьютерными сетями, которые облегчают работу. Хотя преимущества очевидны, когда команды масштабируют производство, существует сопутствующий риск безопасности.

В этой статье подробно рассматриваются атаки smurfing в сфере кибербезопасности — атаки, направленные на отказ пользователям в доступе к серверам, в частности, с помощью объема. Злоумышленники используют огромный объем запросов, делая конкретную сеть бесполезной. Давайте погрузимся внутрь.

Краткий обзор DoS-атак

Прежде чем узнать все о смурф-атаках, необходимо понять концепцию отказа в обслуживании (DoS) и распределенного отказа в обслуживании (DDoS).

Атаки DDoS или DoS направлены на то, чтобы сделать ресурсы вашей сети недоступными для законных пользователей. Это вторжение осуществляется путем атаки на вашу сеть из нескольких точек по всей сети. DoS-атаки имеют несколько классификаций, перечисленных ниже:

1. Flood-атаки — при этом типе атаки большие объемы данных посылаются на ваши системы через множество взломанных устройств, называемых зомби или ботами. В атаках типа «флуд» используются протоколы HyperText Transfer Protocol (HTTP), User Datagram Protocol (UDP), Internet Control Message Protocol (ICMP) или Session Initiation Protocol (SIP).
2. Атаки с усилением — при этой атаке боты отправляют сообщения на выбранный широковещательный IP-адрес. Логика заключается в том, что все системы в подсети, охваченной раскрытым адресом, отправляют ответ вашей системе. Наиболее распространенными типами атак усиления DoS являются fraggle и smurf.
3. Атаки типа fraggle — в этом случае хакер разделяет ботов на две группы. Хакер дает команду ботам общаться с другой группой, что приводит к отправке и получению огромного количества данных. Если связь успешна, отследить атаку по легитимным пакетам сложно. Происходит следующее: атакующий нацеливается на хост, а зомби общаются, создавая флуд в сети. Большие пакеты направляются на один и тот же IP-адрес, пункт назначения и номер порта, разрушая систему.
4. Атаки TCP SYN — в этом типе атаки хакеры используют уязвимости протокола управления передачей (TCP), отправляя множество SYN-запросов на сервер. Например, сервер может ответить на запрос, отправив пакеты SYN и подтверждение (ACK) и ожидая ACK от клиента. Если злоумышленник не отправляет пакет ACK, сервер все еще ожидает несуществующего ack. Поскольку очередь буфера ограничена, сервер перегружается, и все остальные входящие действительные запросы отклоняются.
5. Атаки на серверы аутентификации — при этом типе атаки серверы аутентификации проверяют наличие фальшивой подписи злоумышленника и потребляют больше ресурсов, чем должны, для генерации подписей.
6. Атаки на CGI-запросы — злоумышленник посылает большие запросы на интерфейс общего шлюза (CGI), используя циклы процессора и ресурсы.

Что такое смурф-атаки?

Смурф-атаки основаны на погружении вашего компьютера в неработоспособное состояние.

Смурф-атака — это DDoS-атака, которая перегружает вашу сеть большим количеством запросов. Атака smurf посылает поток запросов Internet Control Message Protocol (ICPM) в вашу целевую сеть, используя уязвимости IP, постепенно замедляя ее работу и в конечном итоге отключая все устройства, работающие в сети.

При успешной атаке smurf на ваш бизнес ваша организация может потерять значительные доходы. В других случаях последствия могут проявляться в отключении определенных услуг, нарушении работы посетителей вашего сайта или перенаправлении трафика на сайты конкурентов. В худших случаях смурф-атаки могут скрывать более серьезные угрозы, такие как кража данных и интеллектуальной собственности.

Название атаки Smurf происходит от инструмента эксплойта под названием smurf, появившегося в 1990-х годах. Этот инструмент создавал небольшие пакеты ICPM, которые неожиданно уничтожали крупные цели — прямо как в популярном мультфильме «Смурфики».

Типы атак Smurf-атак

Существует две разновидности атак smurf, классифицируемых по сложности их исполнения: базовая и продвинутая.

Базовая

В этом случае атака забрасывает целевую сеть неограниченным количеством эхо-запросов ICMP. Затем эти запросы направляются на все устройства, подключенные к данному сетевому серверу, и запрашивают ответы. Следовательно, объем ответов высок, чтобы соответствовать всем входящим запросам, и таким образом перегружает сервер.

Продвинутый

Продвинутые smurf-атаки развивают базовые, настраивая источники и таким образом отвечая сторонним жертвам. Здесь хакер расширяет вектор атаки, нацеливаясь на большие группы жертв и более масштабные сети.

Принцип работы атак Smurf-атак

Smurf-атаки происходят аналогично ping-атакам, которые выходят за рамки данной статьи, учитывая их технику выполнения. Однако основное различие заметно в целевой характеристике эксплойта.

Как правило, в smurf-атаках хакер посылает ICPM echo-запросы, опираясь на автоматические ответы сервера. Выполнение происходит на большей полосе пропускания, чем заранее определенный охват целевой области. Ниже приводится техническое описание этапов атаки smurf, чтобы помочь вам понять, как они работают:

1. Первый шаг — создание поддельных эхо-запросов с поддельными IP-адресами источников с помощью вредоносного ПО smurf. Поддельный IP является адресом целевого сервера. Эхо-запросы создаются из сконструированных злоумышленниками источников, поддельных под видом легитимных.
2. Второй этап включает в себя отправку запросов с использованием промежуточной сети IP-вещания.
3. На третьем этапе запросы передаются всем узлам сети.
4. Здесь узлы посылают ICMP-ответы на целевой адрес.
5. На последнем этапе сервер падает, если существует достаточное количество входящих ICMP-ответов.

Далее мы разберем разницу между Smurf и DDoS атаками.

Smurf vs. DDoS-атаки

Как вы видели, атаки smurf подразумевают наводнение сети ICMP-пакетами. Модель атаки можно сравнить с тем, как группа людей может создать много шума, крича в унисон. Если вам интересно, вспомните, что атаки smurf — это подразделение в категории DDoS-атак. С другой стороны, распределенный отказ в обслуживании (DDoS) — это сетевая атака, которая предполагает наводнение целевой сети трафиком из разных источников.

Основное различие заключается в том, что смурф-атаки выполняются путем отправки множества эхо-запросов ICMP на широковещательный адрес сети, в то время как DDoS-атаки выполняются путем переполнения сети трафиком, обычно с использованием ботнетов.

Smurf vs. Fraggle-атаки

Атаки Fraggle являются разновидностью атак smurf. В то время как при атаках smurf используются эхо-запросы ICMP, при атаках Fraggle посылаются запросы протокола пользовательских дейтаграмм (UDP).

Несмотря на уникальные методы атак, они направлены на уязвимости IP-адресов и достигают схожих результатов. И чтобы просветить вас, вы можете использовать те же методы предотвращения, которые обсуждались далее в этом посте, чтобы предотвратить двойную атаку.

Последствия Smurf-атак

Потеря дохода

Когда сеть замедляется или отключается, значительная часть операций вашей организации прерывается на некоторое время. А когда услуги недоступны, теряется доход, который мог бы быть получен.

Потеря данных

Вы не удивитесь, если хакер украдет информацию, пока вы и ваша команда справляетесь с DoS-атакой.

Ущерб репутации

Можете ли вы вспомнить разгневанных клиентов, полагающихся на ваши услуги? Они могут перестать пользоваться вашим продуктом в случаях, подобных раскрытию конфиденциальных данных.

Как защититься от Smurf-атак

Что касается защиты от атак smurf, мы сгруппировали меры в несколько разделов: выявление признаков, лучшие методы предотвращения, критерии обнаружения и решения по снижению последствий атак. Читать далее.

Признаки Smurf-атак

Иногда на вашем компьютере может находиться вредоносная программа smurf, которая остается в спящем состоянии до тех пор, пока хакер не активирует ее. Такая природа является одним из ограничивающих факторов, затрудняющих обнаружение smurf-атак. Независимо от того, являетесь ли вы владельцем сайта или посетителем, наиболее заметным признаком smurf-атаки, с которым вы столкнетесь, будет медленный отклик сервера или его неработоспособность.

Однако следует помнить, что сеть может отключиться по многим причинам. Поэтому не стоит просто делать выводы. Покопайтесь в своей сети, чтобы обнаружить вредоносную активность, с которой вы имеете дело. Если у вас есть подозрения, что ваши компьютеры и их сети заражены вредоносным ПО, ознакомьтесь с лучшим бесплатным антивирусом для защиты вашего ПК.

Как предотвратить Smurf-атаку

Хотя смурф-атаки являются старыми методами, они эффективны. Однако их трудно обнаружить, что требует разработки стратегий защиты от них. Вот некоторые методы, которые вы можете использовать для предотвращения атак smurf.

1. Отключение IP-вещания — смурф-атаки в значительной степени полагаются на эту функцию для расширения зоны атаки, поскольку она посылает пакеты данных всем устройствам в определенной сети.
2. Настройка хостов и маршрутизаторов — Как упоминалось ранее, смурф-атаки используют эхо-запросы ICMP. Лучшей практикой является настройка хостов и маршрутизаторов на игнорирование этих запросов.
3. Расширение пропускной способности — Лучше всего иметь достаточную пропускную способность, чтобы справиться со всеми всплесками трафика, даже когда начинается вредоносная активность.
4. Создайте избыточность — убедитесь, что ваши серверы распределены по многим центрам обработки данных, чтобы иметь отличную систему балансировки нагрузки для распределения трафика. Если возможно, разместите центры обработки данных в разных регионах одной страны. Вы даже можете подключить их к другим сетям.
5. Защитите свои DNS-серверы — Вы можете перевести свои серверы на облачные DNS-провайдеры, особенно те, которые разработаны с учетом возможностей защиты от DDoS.
6. Создайте план — Вы можете разработать подробную стратегию реагирования на атаки smurf, охватывающую все аспекты обработки атак, включая коммуникации, методы смягчения последствий и восстановления. Рассмотрим пример. Предположим, вы руководите организацией, и хакер атакует вашу сеть, похищая некоторые данные. Справитесь ли вы с ситуацией? Есть ли у вас какие-либо стратегии?
7. Оценка рисков — установите порядок, при котором вы регулярно проводите аудит устройств, серверов и сети. Убедитесь, что вы хорошо знаете сильные и уязвимые стороны вашей сети, как аппаратных, так и программных компонентов, чтобы использовать их в качестве основы для создания плана.
8. Сегментируйте свою сеть — Если вы разделите свои системы, вероятность того, что ваша сеть будет затоплена, будет минимальной.

Вы также можете настроить свой брандмауэр так, чтобы он отклонял пинги за пределами вашей сети. Подумайте о приобретении нового маршрутизатора с такими конфигурациями по умолчанию.

Как обнаружить Smurf-атаку

Благодаря приобретенным знаниям вы уже приняли меры по предотвращению атак смурфов. Но то, что эти меры существуют, не означает, что хакеры перестанут атаковать ваши системы. Вы можете привлечь сетевого администратора для мониторинга вашей сети, используя его опыт.

Сетевой администратор помогает выявить признаки, которые редко можно заметить. В случае атаки они могут заняться маршрутизаторами, сбоями в работе серверов и пропускной способностью, в то время как служба поддержки работает над ведением переговоров с клиентами в случае отказа продукта.

Как смягчить Smurf-атаку

Иногда хакер может успешно провести атаку, несмотря на все ваши меры предосторожности. В этом случае основной вопрос заключается в том, как остановить атаку Smurf. Для этого не требуется никаких ярких или сложных приемов; не волнуйтесь.

Вы можете ослабить смурф-атаки, используя комбинированные функции фильтрации между пингами, запросами пакетов ICMP и методом избыточного обеспечения. Эта комбинация позволяет вам, как администратору сети, определить возможные запросы, поступающие от поддельных источников, и стереть их, обеспечивая при этом нормальную работу сервера.

Вот протоколы повреждений, которые вы можете использовать в случае атаки:

1. Немедленно ограничьте атакованную инфраструктуру или сервер, чтобы запретить запросы от любых широковещательных рамок. Такой подход позволяет изолировать сервер, дав ему время на устранение нагрузки.
2. Перепрограммируйте хост, чтобы он не отвечал на запросы предполагаемых угроз.

Заключение

Управление компанией требует пристального внимания к кибербезопасности, чтобы не допустить ни утечки данных, ни финансовых потерь. Учитывая многочисленные угрозы кибербезопасности, профилактика — лучшая стратегия защиты вашего бизнеса.

И хотя смурф-атаки, возможно, не являются самой актуальной угрозой кибербезопасности, понимание смурфинга может помочь вам в противодействии аналогичным DoS-атакам. Вы можете использовать все методы безопасности, описанные в этом посте.

Как вы видели, общая безопасность сети может быть полностью эффективной только против некоторых атак кибербезопасности; нам нужно хорошо понимать угрозу, которую мы предотвращаем, чтобы использовать лучшие критерии.

Подключи защиту от кликфрода