Smurf attack

Un atac Smurf és un atac de denegació de servei distribuït en el qual un gran nombre de paquets de protocol de missatges de control d'Internet (ICMP) amb la IP font falsificada de la víctima prevista s'emet a una xarxa d'ordinadors mitjançant una adreça de difusió IP.^[1] La majoria dels dispositius d'una xarxa, de manera predeterminada, respondran a això enviant una resposta a l'adreça IP d'origen. Si el nombre de màquines de la xarxa que reben i responen a aquests paquets és molt gran, l'ordinador de la víctima es veurà inundat de trànsit. Això pot alentir l'ordinador de la víctima fins al punt que es fa impossible treballar-hi.

Història[modifica]

El Barrufet original va ser escrit per Dan Moschuk (àlies TFreak) el 1997.^[2]^[3]

A finals de la dècada de 1990, moltes xarxes IP participarien en atacs de Smurf si se'ls demanava (és a dir, responien a les sol·licituds ICMP enviades a adreces de difusió). El nom prové de la idea d'atacants molt petits, però nombrosos, aclaparant un oponent molt més gran (vegeu Barrufets). Avui, els administradors poden fer que una xarxa sigui immune a aquest tipus d'abús; per tant, molt poques xarxes continuen sent vulnerables als atacs dels Barrufets.

Factors d'amplificació d'atac[modifica]

Un amplificador de Barrufet és una xarxa informàtica que es presta a ser utilitzada en un atac de Barrufet. Els amplificadors Smurf actuen per empitjorar la gravetat d'un atac Smurf perquè estan configurats de manera que generen un gran nombre de respostes ICMP a la víctima a l'adreça IP d'origen falsificada. El factor d'amplificació d'atac (AAF) és un terme encunyat pel Dr. Sanjeev Kumar, professor de la Universitat de Texas a Austin en el seu article publicat per representar el grau de millora o amplificació de l'ample de banda que pateix un trànsit d'atac original (amb l'ajuda dels amplificadors Smurf) durant la seva transmissió cap a l'ordinador víctima.

Sota el supòsit que no es prenen contramesures per esmorteir l'efecte d'un atac de Barrufet, això és el que passa a la xarxa objectiu amb n amfitrions actius (que respondran a les sol·licituds d'eco ICMP). Els paquets de sol·licitud d'eco ICMP tenen una adreça font falsificada (l'objectiu dels Barrufets) i una adreça de destinació (el patsy; l'origen aparent de l'atac). Les dues adreces poden adoptar dues formes: unicast i broadcast.

El formulari dual unicast és comparable amb un ping normal: s'envia una sol·licitud d'eco ICMP al patsy (un sol amfitrió), que envia una única resposta d'eco ICMP (un Smurf) a l'objectiu (l'únic amfitrió a l'adreça d'origen). Aquest tipus d'atac té un factor d'amplificació d'1, el que significa: només un Barrufet per ping.

Les sol·licituds d'eco ICMP s'envien normalment una vegada per segon. La resposta ha de contenir el contingut de la sol·licitud; uns quants bytes, normalment. Un ping únic (doble difusió) a una xarxa amb 100 amfitrions fa que la xarxa processi 10000 paquets. Si la càrrega útil del ping s'augmenta a 15000 bytes (o 10 paquets complets a Ethernet), aquest ping farà que la xarxa hagi de processar 100000 paquets grans per segon. Envieu més paquets per segon i qualsevol xarxa es col·lapsaria sota la càrrega. Això farà que qualsevol host de la xarxa sigui inaccessible mentre duri l'atac.

Mitigació[modifica]

La solució és doble:

Configureu els amfitrions i els encaminadors per ignorar els paquets on l'adreça d'origen és una adreça de difusió; i
Configureu els encaminadors perquè no reenviïn paquets dirigits a adreces de difusió. Fins al 1999, els estàndards requerien que els encaminadors reenviessin aquests paquets per defecte. Des de llavors, es va canviar l'estàndard predeterminat per no reenviar aquests paquets.

També és important que els ISP implementin el filtratge d'entrada, que rebutja els paquets atacants en funció de l'adreça d'origen falsificada.

Atac de fragmentació[modifica]

Un atac Fraggle (anomenat així per les criatures de la sèrie de televisió de titelles Fraggle Rock) és una variació d'un atac de Barrufets on un atacant envia una gran quantitat de trànsit UDP als ports 7 (Echo) i 19 (CHARGEN). Funciona de manera semblant a l'atac de Barrufet, ja que molts ordinadors de la xarxa respondran a aquest trànsit enviant trànsit de tornada a la IP font falsificada de la víctima, inundant-la de trànsit.^[4]

Fraggle.c, the source code of the attack, was also released by TFreak.

Referències[modifica]

↑ Sun, Fei Xian (en anglès) Key Engineering Materials, 467-469, 2011, pàg. 515–521. DOI: 10.4028/www.scientific.net/KEM.467-469.515. ISSN: 1662-9795.
↑ «Tfreak» (en anglès). Hackepedia, 28-03-2013. [Consulta: 13 novembre 2019].
↑ Pramatarov, Martin. «What is a Smurf DDoS attack?» (en anglès americà). ClouDNS Blog, 09-09-2021. [Consulta: 15 setembre 2022].
↑ Hendric, William. «Fraggle attack» (en anglès), 23-03-2016.

[1] Sun, Fei Xian (en anglès) Key Engineering Materials, 467-469, 2011, pàg. 515–521. DOI: 10.4028/www.scientific.net/KEM.467-469.515. ISSN: 1662-9795.

[2] «Tfreak» (en anglès). Hackepedia, 28-03-2013. [Consulta: 13 novembre 2019].

[3] Pramatarov, Martin. «What is a Smurf DDoS attack?» (en anglès americà). ClouDNS Blog, 09-09-2021. [Consulta: 15 setembre 2022].

[4] Hendric, William. «Fraggle attack» (en anglès), 23-03-2016.

[1]

[2]

[3]

[4]