À Attaque des Schtroumpfs est un type d'attaque par déni de service (DOS) où un attaquant exploite les paquets ICMP (Internet Control Message Protocol). L'attaque fait surface lorsqu'un attaquant envoie un flot massif de paquets ICMP echo_request falsifiés à la victime cible.
Cet article apprendra comment une attaque Schtroumpf est exécutée et combien de dégâts une attaque Schtroumpf peut causer à un réseau. L'article décrira également les mesures préventives contre une attaque de Schtroumpf.
Fond
Le monde en ligne a vu se développer la première attaque des Schtroumpfs dans les années 1990. En 1998, par exemple, l'Université du Minnesota a connu une attaque Smurf, qui a duré plus de 60 minutes, entraînant la fermeture de quelques-uns de ses ordinateurs et un verrouillage général du service réseau.
L'attaque a provoqué un cyberblocage qui a également influencé le reste du Minnesota, y compris le Réseau régional du Minnesota (MRNet) . Ensuite, Les clients de MRNet , qui comprenait des entreprises privées, 500 organisations et des collèges, ont également été influencés.
Attaque des Schtroumpfs
Un grand nombre de paquets ICMP usurpés sont liés à l'adresse IP de la victime, car l'adresse IP source est construite par un attaquant dans le but de les diffuser sur le réseau de l'utilisateur ciblé à l'aide d'une adresse de diffusion IP.
L'intensité avec laquelle l'attaque Smurf perturbe le trafic réel d'un réseau correspond à la quantité d'hôtes au milieu de l'organisation du serveur réseau. Par exemple, un réseau de diffusion IP avec 500 hôtes créera 500 réactions pour chaque fausse demande d'écho. Le résultat escompté est de handicaper le système visé en le rendant inutilisable et inaccessible.
L'attaque DDoS Smurf tire son nom d'un outil d'exploitation appelé Smurf ; largement utilisé dans les années 90. Les petits paquets ICMP produits par l'outil ont causé un grand chahut pour une victime, ce qui a entraîné la formation du nom Schtroumpf.
Types d'attaques de Schtroumpfs
Attaque de base
Une attaque Smurf de base se produit lorsque l'organisation d'une victime se retrouve entre des paquets de requêtes ICMP. Les paquets se dispersent et chaque périphérique qui se connecte au réseau cible de l'organisation répondrait alors aux paquets ICMP echo_request, provoquant un trafic important et potentiellement coupant le réseau.
Attaque avancée
Ces types d'attaques ont la même méthodologie de base que les attaques principales. La chose qui diffère dans ce cas est que l'echo-request configure ses sources pour réagir à une victime tierce.
La victime tierce obtiendra alors la demande d'écho qui a démarré à partir du sous-réseau cible. Par conséquent, les pirates accèdent aux frameworks associés à leur objectif unique, entravant un plus grand sous-ensemble du Web que ce qui aurait pu être concevable, au cas où ils limiteraient leur extension à une seule victime.
Travail
Bien que les paquets ICMP puissent être utilisés dans une attaque DDoS, ils occupent généralement des postes importants dans l'organisation du réseau. Habituellement, les gestionnaires de réseau ou de diffusion utilisent l'application ping, qui utilise des paquets ICMP pour évaluer les périphériques matériels assemblés tels que les PC, les imprimantes, etc.
Un ping est fréquemment utilisé pour tester le fonctionnement et l'efficacité d'un appareil. Il estime le temps nécessaire à un message pour aller de la source vers l'appareil de destination et revenir à l'appareil source. Étant donné que la convention ICMP exclut les poignées de main, les appareils recevant des demandes ne peuvent pas confirmer si les demandes reçues proviennent d'une source légitime ou non.
Métaphoriquement, imaginez une machine de transport de poids avec une limite de poids fixe ; s'il doit transporter plus que sa capacité, il cessera sûrement de fonctionner normalement ou complètement.
Dans un scénario général, l'hôte A envoie une invitation ICMP Echo (ping) à l'hôte B, déclenchant une réaction programmée. Le temps nécessaire pour qu'une réaction se révèle est utilisé dans le cadre de l'éloignement virtuel entre les deux hôtes.
Au sein d'une organisation de diffusion IP, une requête ping est envoyée à tous les hôtes du réseau, stimulant une réaction de tous les systèmes. Avec les attaques Smurf, les entités malveillantes exploitent cette capacité pour intensifier le trafic sur leur serveur cible.
- Le malware Smurf fabrique un paquet falsifié dont l'adresse IP source est définie sur l'adresse IP d'origine de la victime.
- Le paquet est ensuite envoyé à une adresse de diffusion IP d'un serveur réseau ou d'un pare-feu, qui envoie ensuite un message de demande à chaque adresse hôte à l'intérieur de l'organisation du serveur réseau, augmentant le nombre de demandes par la quantité de périphériques organisés sur l'organisation.
- Chaque appareil lié à l'intérieur de l'organisation reçoit le message demandé du serveur réseau et revient ensuite à l'adresse IP usurpée de la victime via un paquet ICMP Echo Reply.
- À cet instant, la victime subit un flot de paquets ICMP Echo Reply, peut-être submergé et restreignant l'accès du trafic légitime au réseau.
Effets d'attaque des Schtroumpfs
L'impact le plus évident causé par une attaque Smurf est la destruction du serveur d'une entreprise. Il crée un embouteillage Internet, rendant avec succès le système de la victime incapable de produire des résultats. Il peut se concentrer sur un utilisateur ou servir de couverture à une attaque plus nuisible comme le vol d'informations personnelles et privées.
Compte tenu de tout cela, les impacts d'une attaque de Schtroumpf sur une association incluent :
- Perte de finances : Étant donné que l'ensemble de l'organisation se relâche ou se ferme, l'activité d'une organisation s'arrête.
- Perte d'informations : Comme indiqué, une attaque Smurf peut également impliquer que les attaquants prennent vos informations. Cela leur permet d'exfiltrer des informations pendant que vous êtes occupé à gérer l'attaque DoS.
- Atteinte à la stature : Une violation d'information coûte cher, tant en argent qu'en stature. Les clients peuvent perdre leur confiance en votre association car les données confidentielles qu'ils ont confiées perdent leur confidentialité et leur intégrité.
Prévention des attaques de Schtroumpfs
Pour empêcher les attaques Smurf, le filtrage du trafic entrant peut être utilisé pour analyser tous les paquets entrants. Ils se verront refuser ou autoriser l'entrée dans le cadre en fonction de l'authenticité de leur en-tête de paquet.
Le pare-feu peut également être reconfiguré pour bloquer les pings formatés à partir d'un réseau extérieur au réseau du serveur.
Conclusion
Une attaque Smurf est une attaque de consommation de ressources qui cherche à inonder la cible avec un grand nombre de paquets ICMP usurpés. Avec l'intention malveillante d'utiliser toute la bande passante disponible. En conséquence, il n'y a plus de bande passante pour les utilisateurs disponibles.