Jak chronić swoją organizację przed atakami Smerfing przez hakerów

przez

Stwierdzenie, że cyberbezpieczeństwo dotyczy dziś wielu organizacji, byłoby niedopowiedzeniem, biorąc pod uwagę szerokie spektrum ataków w kosmosie. Cyberbezpieczeństwo to kluczowa kwestia, która pozostawiona bez kontroli może zrujnować Twoją firmę.

Cyberatak ma miejsce, gdy cyberprzestępca mający złośliwe zamiary wykorzystuje luki w zabezpieczeniach Twojego systemu. Ataki często mają na celu kradzież, zmianę, wyłączenie, zniszczenie lub uzyskanie dostępu do nieautoryzowanych zasobów. Dziś niemal wszystkie współczesne firmy korzystają z sieci komputerów, które ułatwiają pracę. Chociaż korzyści są oczywiste w przypadku skalowania produkcji przez zespoły, wiąże się to z ryzykiem bezpieczeństwa.

Ten post zawiera szczegółowy opis ataków typu smurfing w domenie cyberbezpieczeństwa, ataków nastawionych na odmowę użytkownikom dostępu do serwerów, w szczególności przy użyciu wolumenu. Atakujący wykorzystują ogromną liczbę żądań, przez co dana sieć jest bezużyteczna. Zanurzmy się.

Krótki przegląd ataków DoS

Zanim nauczysz się wszystkiego o atakach smurf, musisz zrozumieć koncepcję odmowy usługi (DoS) i rozproszonej odmowy usługi (DDoS).

Ataki DDoS lub DoS mają na celu uniemożliwienie legalnym użytkownikom dostępu do zasobów Twojej sieci. To włamanie odbywa się poprzez atakowanie sieci z wielu punktów w jej obrębie. Ataki DoS mają kilka klasyfikacji, wymienionych poniżej:

  • Ataki typu „flood” – w tym typie ataku duże ilości danych są wysyłane do twoich systemów za pośrednictwem wielu zainfekowanych urządzeń zwanych zombie lub botami. Ataki Flood obejmują HyperText Transfer Protocol (HTTP), User Datagram Protocol (UDP), Internet Control Message Protocol (ICMP) lub Session Initiation Protocol (SIP).
  • Ataki amplifikacyjne – w tym ataku boty wysyłają wiadomości na wybrany rozgłaszany adres IP. Podstawowa logika polega na tym, że wszystkie systemy w podsieci podsłuchu ujawnionego adresu wysyłają odpowiedź do twojego systemu. Najczęstszymi typami ataków DoS z amplifikacją są fraggle i smurf.
  • Ataki Coremelt – przy tej okazji haker dzieli boty na dwie grupy. Haker nakazuje botom komunikację z inną grupą, co skutkuje wysyłaniem i odbieraniem ogromnych ilości danych. Jeśli komunikacja się powiedzie, śledzenie tego ataku za pomocą legalnych pakietów jest trudne. Dzieje się tak, gdy atakujący atakuje hosta, a zombie komunikują się, aby wywołać powódź w sieci. Duże pakiety są kierowane do tego samego adresu IP, miejsca docelowego i numeru portu, niszcząc system.
  • Ataki TCP SYN — w tym typie ataku hakerzy wykorzystują luki w zabezpieczeniach protokołu kontroli transmisji (TCP), wysyłając wiele żądań SYN do serwera. Na przykład serwer może odpowiedzieć na żądanie, wysyłając pakiety SYN i pakiety potwierdzenia (ACK) i czekać na potwierdzenie ACK od klienta. Jeśli atakujący nie wyśle ​​pakietu ACK, serwer nadal czeka na nieistniejące potwierdzenie. Ponieważ kolejka bufora jest ograniczona, serwer zostaje przeciążony, a wszystkie inne przychodzące prawidłowe żądania są odrzucane.
  • Ataki na serwer uwierzytelniający — w tego typu ataku serwery uwierzytelniające sprawdzają fałszywy podpis osoby atakującej i zużywają więcej zasobów niż powinny na generowanie podpisów.
  • Ataki z żądaniem CGI — osoba atakująca wysyła duże żądania wspólnego interfejsu bramy (CGI), wykorzystując cykle i zasoby procesora.

    • Czym są ataki smerfów?

    Wszystkie ataki Smerfów polegają na zanurzeniu komputera do stopnia uniemożliwiającego jego działanie.

    Atak smurf to atak DDoS, który przytłacza twoją sieć dużą liczbą żądań. Atak smurf wysyła zalew żądań Internet Control Message Protocol (ICPM) do docelowej sieci, wykorzystując luki w zabezpieczeniach IP, stopniowo ją spowalniając i ostatecznie zamykając wszystkie urządzenia działające w sieci.

    Po udanym ataku smerfem na Twoją firmę, Twoja organizacja może stracić znaczne przychody. Innym razem wpływ można dostrzec w zamykaniu określonych usług, przeszkadzaniu odwiedzającym witrynę lub przekierowywaniu ruchu do witryn konkurencji. W najgorszych przypadkach ataki smerfowe mogą ukryć poważniejsze zagrożenia, takie jak kradzież danych i własności intelektualnej.

    Nazewnictwo ataków Smurf wywodzi się z narzędzia exploitów o nazwie smurf z lat 90. Narzędzie tworzyło małe pakiety ICPM, które niespodziewanie usuwały duże cele – tak jak w popularnej kreskówce „Smerfy”.

    Rodzaje ataków Smerfów

    Istnieją dwie odmiany ataków smerfów sklasyfikowane ze względu na złożoność ich wykonania, podstawowa i zaawansowana.

    # 1. Podstawowy

    W takim przypadku atak atakuje docelową sieć nieograniczoną liczbą żądań echa ICMP. Żądania są następnie kierowane do wszystkich urządzeń podłączonych do tego serwera sieciowego, wywołując odpowiedzi. W związku z tym ilość odpowiedzi jest duża, aby sprostać wszystkim przychodzącym żądaniom, a tym samym przytłacza serwer.

    #2. Zaawansowany

    Zaawansowane ataki smerfowe opierają się na podstawowych, konfigurując źródła, a tym samym reagują na ofiary stron trzecich. W tym przypadku haker rozszerza swój wektor ataku, celując w większe grupy ofiar i sieci o większej skali.

    Jak działają ataki Smerfów

    Ataki Smurf występują podobnie do ataków ping, które wykraczają poza zakres tego artykułu, biorąc pod uwagę ich techniki wykonania. Jednak główna różnica jest zauważalna w docelowym elemencie exploita.

    Zazwyczaj w atakach smerfowych haker wysyła żądania echa ICPM na podstawie zautomatyzowanych odpowiedzi serwera. Wykonanie odbywa się przy większej przepustowości niż z góry określony zakres pokrycia obszaru docelowego. Oto techniczny podział kroków ataku smerfów, który pomoże ci zrozumieć, jak one działają:

  • Pierwszym krokiem jest generowanie fałszywych żądań echa ze sfałszowanymi źródłowymi adresami IP za pośrednictwem złośliwego oprogramowania smurf. Sfałszowany adres IP to adres serwera docelowego. Żądania echa są opracowywane na podstawie źródeł zaprojektowanych przez atakujących, fałszywych pod pozorem legalności.
  • Drugi krok polega na wysyłaniu żądań przy użyciu pośredniej sieci rozgłoszeniowej IP.
  • Trzeci krok polega na przesłaniu żądań do wszystkich hostów w sieci.
  • Tutaj hosty wysyłają odpowiedzi ICMP na adres docelowy.
  • Serwer zostaje wyłączony w końcowej fazie, jeśli istnieje wystarczająca liczba przychodzących odpowiedzi ICMP.

    • Następnie zrozumiemy różnicę między atakami Smurf i DDoS.

    Smurf kontra ataki DDoS

    Jak widzieliście, ataki smerfowe polegają na zalewaniu sieci pakietami ICMP. Model ataku można porównać do tego, jak grupa może narobić dużo hałasu, krzycząc jednocześnie. Jeśli jesteś zainteresowany, pamiętaj, że ataki smerfowe są podgałęzią w kategorii ataków DDoS. Z drugiej strony rozproszona odmowa usług (DDoS) to ataki sieciowe polegające na zalewaniu sieci docelowej ruchem z różnych źródeł.

    Główna różnica polega na tym, że ataki smurf są przeprowadzane poprzez wysyłanie wielu żądań echa ICMP na adres rozgłoszeniowy sieci, podczas gdy ataki DDoS polegają na przeciążeniu sieci ruchem, zwykle z wykorzystaniem botnetów.

    Ataki Smerf kontra Fraggle

    Ataki Fraggle to odmiana ataków smerfów. Podczas gdy ataki smurf obejmują żądania echa ICMP, ataki Fraggle wysyłają żądania protokołu datagramowego użytkownika (UDP).

    Pomimo swoich unikalnych metod ataku, celują w luki w zabezpieczeniach IP, osiągając podobne wyniki. Aby cię oświecić, możesz użyć tych samych technik zapobiegawczych, które omówiono w dalszej części postu, aby zapobiec dwoistości.

    Konsekwencje ataków Smerfów

    # 1. Utrata dochodów

    Gdy sieć jest spowolniona lub wyłączona, znaczna część operacji Twojej organizacji zostaje na pewien czas przerwana. A kiedy usługi są niedostępne, przychody, które mogłyby zostać wygenerowane, przepadają.

    #2. Utrata danych

    Nie zdziwiłbyś się, gdyby haker ukradł informacje, podczas gdy Ty i Twój zespół zajmujecie się atakiem DoS.

    #3. Uszkodzenie reputacji

    Czy pamiętasz wściekłych klientów polegających na twoich usługach? Mogą przestać używać Twojego produktu w przypadku ujawnienia poufnych danych.

    Jak chronić się przed atakami Smerfów

    Jeśli chodzi o ochronę przed atakami smerfów, podzieliliśmy środki na kilka sekcji; znaki identyfikujące, najlepsze praktyki w zakresie zapobiegania, kryteria wykrywania i rozwiązania łagodzące ataki. Czytaj.

    Oznaki ataków Smerfów

    Czasami twój komputer może mieć złośliwe oprogramowanie smurf, które pozostaje uśpione, dopóki haker go nie aktywuje. Ta natura jest jednym z czynników ograniczających, które utrudniają wykrywanie ataków smerfów. Niezależnie od tego, czy jesteś właścicielem strony internetowej, czy gościem, najbardziej zauważalną oznaką ataku smerfowego, z którym się spotkasz, jest powolna reakcja serwera lub niesprawność.

    Należy jednak pamiętać, że sieć może zostać wyłączona z wielu powodów. Nie należy więc po prostu wyciągać wniosków. Zagłęb się w swoją sieć, aby odkryć złośliwą aktywność, z którą masz do czynienia. Jeśli podejrzewasz, że Twoje komputery i ich sieci są zainfekowane złośliwym oprogramowaniem, sprawdź najlepszy darmowy program antywirusowy do ochrony komputera.

    Jak zapobiegać atakom Smerfów

    Chociaż ataki smerfów są starymi technikami, są skuteczne. Są one jednak trudne do wykrycia, co wymaga strategii ochrony przed nimi. Oto kilka praktyk, które możesz zastosować, aby odeprzeć ataki smerfów.

  • Wyłączanie rozgłaszania IP – ataki Smurf w dużej mierze polegają na tej funkcji w celu powiększenia obszaru ataku, ponieważ wysyła ona pakiety danych do wszystkich urządzeń w określonej sieci.
  • Konfigurowanie hostów i routerów – Jak wspomniano wcześniej, ataki smurf zamieniają żądania echa ICMP w broń. Najlepszą praktyką jest skonfigurowanie hostów i routerów w taki sposób, aby ignorowały te żądania.
  • Zwiększ przepustowość – najlepiej byłoby mieć wystarczającą przepustowość, aby obsłużyć wszystkie skoki ruchu, nawet gdy inicjowana jest szkodliwa aktywność.
  • Zbuduj redundancję — upewnij się, że rozmieścisz swoje serwery w wielu centrach danych, aby mieć doskonały system z równoważeniem obciążenia do dystrybucji ruchu. Jeśli to możliwe, niech centra danych obejmują różne regiony tego samego kraju. Możesz nawet podłączyć je do innych sieci.
  • Chroń swoje serwery DNS — możesz migrować swoje serwery do usługodawców DNS opartych na chmurze — w szczególności tych, które zostały zaprojektowane z myślą o zapobieganiu atakom DDoS.
  • Utwórz plan — możesz opracować szczegółową strategię reagowania na atak smurf, obejmującą wszystkie aspekty obsługi ataku, w tym komunikację, łagodzenie skutków i techniki odzyskiwania. Weźmy przykład. Załóżmy, że prowadzisz organizację i haker atakuje Twoją sieć, kradnąc niektóre dane. Czy poradzisz sobie z sytuacją? Czy macie jakieś strategie?
  • Ocena ryzyka — ustal rutynę, w której regularnie kontrolujesz urządzenia, serwery i sieć. Upewnij się, że masz dogłębną wiedzę na temat mocnych i słabych stron swojej sieci, zarówno sprzętu, jak i oprogramowania, które wykorzystasz jako elementy składowe tego, jak dobrze i jakie strategie zastosujesz do stworzenia swojego planu.
  • Segmentuj swoją sieć – jeśli rozdzielisz swoje systemy, istnieje minimalne prawdopodobieństwo, że Twoja sieć zostanie zalana.

    • Możesz także skonfigurować zaporę sieciową tak, aby odrzucała pakiety ping spoza sieci. Rozważ zainwestowanie w nowy router z tymi domyślnymi konfiguracjami.

    Jak wykryć ataki Smerfów

    Dzięki nowo zdobytej wiedzy wykonałeś już działania zapobiegające smerfom. To, że takie środki istnieją, nie oznacza, że ​​hakerzy przestają atakować Twoje systemy. Możesz włączyć administratora sieci do monitorowania sieci, korzystając z jego wiedzy.

    Administrator sieci pomaga zidentyfikować znaki, które rzadko są widoczne. Podczas gdy w przypadku ataku mogą zająć się routerami, awariami serwerów i przepustowościami, podczas gdy wsparcie pracuje nad obsługą rozmów z klientami w przypadku awarii produktu.

    Jak złagodzić ataki Smerfów

    Czasami haker może pomyślnie przeprowadzić atak pomimo wszystkich środków ostrożności. W tym scenariuszu podstawowym zapytaniem jest sposób powstrzymania ataku Smurf. Nie wymaga żadnych krzykliwych ani skomplikowanych ruchów; nie martw się.

    Możesz osłabić ataki smurf za pomocą połączonych funkcji, które filtrują między pingami, żądaniami pakietów ICMP i metodą overprovisioningu. Ta kombinacja pozwala administratorowi sieci identyfikować możliwe żądania przychodzące ze sfałszowanych źródeł i usuwać je, zapewniając jednocześnie normalne działanie serwera.

    Oto protokoły obrażeń, których możesz użyć w przypadku ataku:

  • Natychmiast ogranicz zaatakowaną infrastrukturę lub serwer, aby odrzucić żądania z dowolnego środowiska rozgłoszeniowego. Takie podejście pozwala odizolować serwer, dając mu czas na wyeliminowanie obciążenia.
  • Przeprogramuj hosta, aby upewnić się, że nie odpowiada na żądania dotyczące postrzeganych zagrożeń.

    • Ostatnie słowa

    Prowadzenie firmy wymaga zwracania szczególnej uwagi na cyberbezpieczeństwo, aby nie doszło do naruszenia danych ani strat finansowych. W przypadku licznych zagrożeń bezpieczeństwa cybernetycznego zapobieganie jest najlepszą strategią ochrony firmy.

    I chociaż ataki smerfami mogą nie stanowić najpilniejszego zagrożenia dla bezpieczeństwa cybernetycznego, zrozumienie smerfów może pomóc w zrozumieniu przeciwdziałania podobnym atakom DoS. Możesz zastosować wszystkie techniki bezpieczeństwa opisane w tym poście.

    Jak widać, ogólne bezpieczeństwo sieci może być w pełni skuteczne tylko w przypadku niektórych ataków cybernetycznych; musimy dogłębnie zrozumieć zagrożenie, któremu zapobiegamy, aby zastosować najlepsze kryteria.

    Następnie sprawdź Atak phishingowy 101: jak chronić swoją firmę.