สเมิร์ฟโจมตี

ถึง สเมิร์ฟโจมตี เป็นประเภทของ Denial-of-Service Attack (DOS) ที่ผู้โจมตีใช้ประโยชน์จากแพ็กเก็ตโปรโตคอลข้อความควบคุมอินเทอร์เน็ต (ICMP) การโจมตีจะเกิดขึ้นเมื่อผู้โจมตีส่งแพ็คเก็ต ICMP echo_request ปลอมจำนวนมากไปยังเหยื่อเป้าหมาย

บทความนี้จะเรียนรู้เกี่ยวกับวิธีการดำเนินการโจมตี Smurf และความเสียหายที่การโจมตี Smurf สามารถสร้างให้กับเครือข่ายได้ บทความนี้จะอธิบายมาตรการป้องกันการโจมตี Smurf ด้วย

พื้นหลัง

โลกออนไลน์ได้เห็นการพัฒนาของการโจมตี Smurf ครั้งแรกในช่วงปี 1990 ตัวอย่างเช่น ในปี 1998 มหาวิทยาลัยมินนิโซตาประสบกับการโจมตีแบบสเมิร์ฟ ซึ่งดำเนินไปนานกว่า 60 นาที นำไปสู่การปิดคอมพิวเตอร์สองสามเครื่องและการปิดบริการเครือข่ายโดยทั่วไป

การโจมตีดังกล่าวทำให้เกิดการล็อกกริดทางไซเบอร์ที่มีอิทธิพลต่อส่วนที่เหลือของมินนิโซตา รวมถึง เครือข่ายภูมิภาคมินนิโซตา (MRNet) . ต่อมา ลูกค้าของ MRNet ซึ่งรวมถึงบริษัทเอกชน 500 องค์กร และวิทยาลัย ก็ได้รับอิทธิพลเช่นเดียวกัน

สเมิร์ฟโจมตี

แพ็กเก็ต ICMP ปลอมจำนวนมากเชื่อมโยงกับที่อยู่ IP ของเหยื่อ เนื่องจาก IP ต้นทางถูกสร้างขึ้นโดยผู้โจมตีโดยมีเจตนาที่จะเผยแพร่ไปยังเครือข่ายของผู้ใช้ที่เป็นเป้าหมายโดยใช้ที่อยู่ IP ที่ออกอากาศ

ความรุนแรงที่การโจมตี Smurf รบกวนการรับส่งข้อมูลที่แท้จริงของเครือข่ายนั้นสอดคล้องกับปริมาณของโฮสต์ที่อยู่ตรงกลางขององค์กรเซิร์ฟเวอร์เครือข่าย ตัวอย่างเช่น เครือข่ายการออกอากาศ IP ที่มี 500 โฮสต์จะสร้าง 500 ปฏิกิริยาสำหรับความต้องการ Echo ปลอมแต่ละครั้ง ผลลัพธ์ที่ได้วางแผนไว้คือการทำให้ระบบเป้าหมายพิการโดยทำให้ระบบใช้งานไม่ได้และไม่สามารถเข้าถึงได้

Smurf DDoS Attack ได้ชื่อมาจากเครื่องมือโจมตีที่เรียกว่า Smurf; ใช้กันอย่างแพร่หลายในทศวรรษ 1990 แพ็กเก็ต ICMP ขนาดเล็กที่ผลิตโดยเครื่องมือนี้ทำให้เกิดปัญหาใหญ่สำหรับการบาดเจ็บล้มตาย ส่งผลให้เกิดชื่อสเมิร์ฟ

ประเภทของการโจมตีสเมิร์ฟ

การโจมตีพื้นฐาน

การโจมตีแบบ Smurf ขั้นพื้นฐานเกิดขึ้นเมื่อองค์กรของเหยื่อหยุดทำงานระหว่าง ICMP ที่ร้องขอแพ็กเก็ต แพ็กเก็ตกระจาย และอุปกรณ์ทุกเครื่องที่เชื่อมโยงกับเครือข่ายเป้าหมายในองค์กรจะตอบแพ็กเก็ต ICMP echo_request ทำให้เกิดการรับส่งข้อมูลจำนวนมากและอาจตัดเครือข่ายลง

การโจมตีขั้นสูง

การโจมตีประเภทนี้มีวิธีการพื้นฐานเหมือนกับการโจมตีหลัก สิ่งที่แตกต่างในกรณีนี้คือคำขอเสียงสะท้อนกำหนดค่าแหล่งที่มาเพื่อตอบสนองต่อเหยื่อบุคคลที่สาม

เหยื่อบุคคลที่สามจะได้รับคำขอสะท้อนที่เริ่มต้นจากเครือข่ายย่อยเป้าหมาย ดังนั้น แฮกเกอร์จึงเข้าถึงเฟรมเวิร์กที่เกี่ยวข้องกับวัตถุประสงค์เฉพาะของพวกเขา ขัดขวางส่วนย่อยของเว็บที่ใหญ่กว่าที่อาจเป็นไปได้ ในกรณีที่พวกเขาจำกัดส่วนขยายของพวกเขาไว้ที่การบาดเจ็บล้มตายเพียงรายเดียว

การทำงาน

แม้ว่าแพ็กเก็ต ICMP สามารถใช้ในการโจมตี DDoS ได้ โดยปกติแล้วจะให้บริการตำแหน่งที่สำคัญในองค์กรเครือข่าย โดยปกติ ผู้จัดการเครือข่ายหรือการออกอากาศจะใช้แอปพลิเคชัน ping ซึ่งใช้แพ็กเก็ต ICMP เพื่อประเมินอุปกรณ์ฮาร์ดแวร์ที่ประกอบ เช่น พีซี เครื่องพิมพ์ ฯลฯ

มักใช้ ping เพื่อทดสอบการทำงานและประสิทธิภาพของอุปกรณ์ โดยจะประมาณเวลาที่ข้อความใช้เพื่อไปยังอุปกรณ์ปลายทางจากต้นทางและกลับไปยังอุปกรณ์ต้นทาง เนื่องจากข้อตกลง ICMP ไม่รวมการจับมือ อุปกรณ์ที่ได้รับคำขอจึงไม่สามารถยืนยันได้ว่าคำขอที่ได้รับมาจากแหล่งที่ถูกต้องหรือไม่

ลองนึกภาพเครื่องยกน้ำหนักที่มีขีดจำกัดน้ำหนักคงที่ ถ้าจะบรรทุกเกินความจุก็จะหยุดทำงานตามปกติหรือหมด

ในสถานการณ์ทั่วไป โฮสต์ A ส่งคำเชิญ ICMP Echo (ping) ไปยังโฮสต์ B โดยตั้งค่าปฏิกิริยาตามโปรแกรม เวลาที่ใช้ในการตอบสนองต่อการเปิดเผยตัวเองนั้นถูกใช้เป็นส่วนหนึ่งของความห่างไกลเสมือนจริงท่ามกลางโฮสต์ทั้งสอง

ภายในองค์กรออกอากาศ IP คำขอ ping จะถูกส่งไปยังโฮสต์ทั้งหมดของเครือข่าย กระตุ้นปฏิกิริยาจากระบบทั้งหมด ด้วยการโจมตีแบบ Smurf หน่วยงานที่ประสงค์ร้ายใช้ประโยชน์จากความสามารถนี้เพื่อเพิ่มปริมาณการรับส่งข้อมูลบนเซิร์ฟเวอร์เป้าหมาย

• มัลแวร์ Smurf สร้างแพ็กเก็ตปลอมซึ่งมีที่อยู่ IP ต้นทางที่ตั้งค่าเป็นที่อยู่ IP ดั้งเดิมของเหยื่อ
• จากนั้นแพ็คเก็ตจะถูกส่งไปยังที่อยู่ออกอากาศ IP ของเซิร์ฟเวอร์เครือข่ายหรือไฟร์วอลล์ ซึ่งจะส่งข้อความคำขอไปยังที่อยู่โฮสต์แต่ละแห่งภายในองค์กรเซิร์ฟเวอร์เครือข่าย ซึ่งจะขยายจำนวนคำขอตามจำนวนอุปกรณ์ที่จัดเรียงในองค์กร
• อุปกรณ์ที่เชื่อมโยงทุกเครื่องภายในองค์กรจะได้รับข้อความที่ร้องขอจากเซิร์ฟเวอร์เครือข่าย และต่อมาจะย้อนกลับไปยัง IP ปลอมของเหยื่อผ่านแพ็กเก็ต ICMP Echo Reply
• ในช่วงเวลานั้น เหยื่อประสบกับแพ็กเก็ต ICMP Echo Reply ที่ล้นหลาม ซึ่งอาจจะล้นเกินและจำกัดการเข้าถึงของทราฟฟิกที่ถูกกฎหมายไปยังเครือข่าย

เอฟเฟกต์การโจมตีสเมิร์ฟ

ผลกระทบที่เห็นได้ชัดที่สุดที่เกิดจากการโจมตี Smurf คือการทำลายเซิร์ฟเวอร์ของบริษัท มันทำให้การจราจรทางอินเทอร์เน็ตติดขัด ทำให้ระบบของเหยื่อไม่สามารถให้ผลลัพธ์ได้สำเร็จ มันสามารถมุ่งเน้นไปที่ผู้ใช้หรือสามารถกรอกข้อมูลเพื่อปกปิดการโจมตีที่เป็นอันตรายเช่นการขโมยข้อมูลส่วนบุคคลและข้อมูลส่วนตัว

เมื่อพิจารณาทั้งหมดนี้ ผลกระทบของการโจมตี Smurf ต่อสมาคมรวม:

• สูญเสียการเงิน : เนื่องจากทั้งองค์กรผ่อนคลายลงหรือปิดตัวลง กิจกรรมขององค์กรจึงหยุดลง
• ข้อมูลสูญหาย : ตามที่อ้างถึง การโจมตีแบบสเมิร์ฟสามารถบอกเป็นนัยได้ว่าผู้โจมตีกำลังรับข้อมูลของคุณ อนุญาตให้พวกเขากรองข้อมูลในขณะที่คุณหมกมุ่นอยู่กับการจัดการการโจมตี DoS
• เป็นอันตรายต่อความสูง : การละเมิดข้อมูลมีราคาแพง ทั้งในด้านเงินสดและสัดส่วน ลูกค้าอาจสูญเสียความไว้วางใจในสมาคมของคุณเนื่องจากข้อมูลลับที่พวกเขาได้รับมอบหมายจะสูญเสียความลับและความสมบูรณ์ของข้อมูล

การป้องกันการโจมตีสเมิร์ฟ

เพื่อป้องกันการโจมตี Smurf คุณสามารถใช้การกรองการรับส่งข้อมูลขาเข้าเพื่อวิเคราะห์แพ็กเก็ตทั้งหมดที่เคลื่อนที่ขาเข้า พวกเขาจะถูกปฏิเสธหรือได้รับอนุญาตให้เข้าสู่กรอบงานขึ้นอยู่กับความถูกต้องของส่วนหัวของแพ็กเก็ต

ไฟร์วอลล์สามารถกำหนดค่าใหม่เพื่อบล็อก ping ที่จัดรูปแบบจากเครือข่ายภายนอกเครือข่ายเซิร์ฟเวอร์

บทสรุป

การโจมตีแบบสเมิร์ฟเป็นการโจมตีการใช้ทรัพยากรที่พยายามทำให้เป้าหมายท่วมท้นด้วยแพ็กเก็ต ICMP ปลอมจำนวนมาก ด้วยเจตนาร้ายในการใช้แบนด์วิดท์ที่มีอยู่ทั้งหมด เป็นผลให้ไม่มีแบนด์วิดท์เหลือสำหรับผู้ใช้ที่มีอยู่