Атака SMURF - наиболее опасная разновидность атаки DDoS

Discussion in 'Болталка' started by dinar_007, 19 Nov 2005.

Thread Status:
Not open for further replies.
  1. dinar_007

    dinar_007 Мадемуазель

    Joined:
    18 Jan 2005
    Messages:
    1,019
    Likes Received:
    770
    Reputations:
    97
    Атака SMURF относится экспертами к наиболее опасной разновидности атаки DDoS, поскольку имеет эффект усиления, являющийся результатом отправки прямых широковещательных запросов рing к системам, которые обязаны послать ответ. Запрос направляется либо на сетевой адрес, либо по адресу широковещательной рассылки, но в любом случае устройство должно выполнить преобразование уровня 3 (IР) к уровню 2 (сетевой), как этого требует RFС 1812 "Requirements foг IР Version 4 Routers" (Требования к маршрутизаторам протокола IР вер- сии 4). В стандартной сети класса С (24-разрядное выделение адресов) сетевым адресом будет .0, а адресом широковещательной рассылки - .255. Прямая широковещательная рассылка обычно служит для диагностики, позволяя выявить работающие системы без запроса по рing каждого адреса из диапазона. Атака smurf пользуется особенностями прямой широковещательной рассылки и требует как минимум трех участников: атакующий, усиливающая сеть и жертва.

    Атакующий посылает мистифицированный пакет IСМР ЕСНО по адресу широковещательной рассылки усиливающей сети. Адрес источника этого пакета заменяется адресом жертвы, чтобы представить дело так, будто именно целевая система инициировала запрос. После этого происходит следующее - поскольку пакет ЕСНО послан по широковещательному адресу, все системы усиливающей сети возвращают жертве свои ответы (если только конфигурация не определяет другого поведения). Послав один пакет IСМР в сеть из 100 систем, атакующий инициирует усиление атаки DDoS в сто раз! Козффициент усиаения зависит от состава сети, поэтому атакующий ищет большую сеть, способную полностью подавить работу системы-жертвы.

    В данной статье можно рассмотреть следующий пример: предположим, что атакующий послал 14 Кбайт непрерывного трафика IСМР на широковещательный адрес усиливающей сети, содержащей 100 систем. Сеть атакующего подключена к Интернету двухканальным соединением ISDN, усиливающая сеть - линией ТЗ со скоростью обмена 45 Мбит/с, а сеть-жертва - линией Т1 (1.544 Мбит/с). Подсчет показывает, что атакующий может сгенерировать трафик 14 Мбит/с в целевой сети, у которой практически не останется шансов продолжить нормальную работу, поскольку будет полностью занята вся полоса пропускания линии Т1. Одним из вариантов атаки является fraggle (осколочная граната). Эта атака базируется на smurf, но использует пакеты UDР вместо ICМР. Атакующий посылает обманные пакеты UDР по адресу широковещательной рассылки усиливающей сети, обычно на порт 7 (эхо). Каждая система сети, в которой разрешен ответ на эхо-пакеты, возвратит пакеты системе-жертве, в результате чего будет сгенерирован большой объем трафика, Если в системах усиливающей сети запрещены эхо-ответы, системы будут генерировать сообщения IСМР о недостижимости, и полоса пропускания все равно будет захватываться ненужным трафиком.

    Специалисты по сетевой безопасности рекомендуют предпринять следующие контрмеры: чтобы предотвратить эффект усиления позволит запрет операций прямой широковещательной рассылки на всех граничных маршрутизаторах. Дополнительно можно установить в операционной системе режим "тихого" отброса широковещательных эхо-пакетов IСМР.


    Dago_Org
     
  2. KEZ

    KEZ Ненасытный школьник

    Joined:
    18 May 2005
    Messages:
    1,604
    Likes Received:
    754
    Reputations:
    397
    роутеры режут броадкаст пакеты, эта атака мне кажется давно не новая идея
     
  3. [500mhz]

    [500mhz] BLT member

    Joined:
    6 Nov 2005
    Messages:
    22
    Likes Received:
    3
    Reputations:
    2
    есть даже софтинка под винду такая (красявая с ГУИ все дела ) )
     
  4. dinar_007

    dinar_007 Мадемуазель

    Joined:
    18 Jan 2005
    Messages:
    1,019
    Likes Received:
    770
    Reputations:
    97
    А что за софтинка, если не секрет?
     
  5. [500mhz]

    [500mhz] BLT member

    Joined:
    6 Nov 2005
    Messages:
    22
    Likes Received:
    3
    Reputations:
    2
    ну какраз она смурфит ) там список броадкастовых хостов грузиш + список жертвы и она того его )
     
  6. Taurus0688

    Taurus0688 Member

    Joined:
    1 Jul 2007
    Messages:
    8
    Likes Received:
    5
    Reputations:
    -1
    Вот вам целый сборник тулз http://www.to0l-base.de/index.php?dir=DoS_DDoS%2F
     
  7. Delimiter

    Delimiter Banned

    Joined:
    8 Apr 2005
    Messages:
    317
    Likes Received:
    173
    Reputations:
    12
    Да.... уже отстой а не атака.....
     
    #7 Delimiter, 14 Jan 2008
    Last edited: 14 Jan 2008
  8. Karantin

    Karantin Elder - Старейшина

    Joined:
    21 Dec 2007
    Messages:
    330
    Likes Received:
    146
    Reputations:
    24
    Эта атака давно устарела. Ты еще бы вспомнил времена, когда можно было послать письмо на [email protected] и оно всем пользователям приходило.
     
Loading...
Similar Threads - Атака SMURF наиболее
  1. Shawn1x
    Replies:
    1
    Views:
    2,179
Thread Status:
Not open for further replies.