Smurf attack là gì? Tấn công DDoS bằng phương thức Internet Control Message Protocol
15/11/20191. Smurf attack là gì?
Smurf attack là dạng tấn công từ chối dịch vụ (DDOS). Kẻ tấn công cố gắng tấn công đến máy chủ của nạn nhân bằng gói tin Internet Control Message Protocol. Bằng cách gửi yêu cầu bằng IP giả mạo máy chủ của nạn nhân. Đồng thời gửi gói tin đến một hoặc nhiều máy tính trong cùng mạng. Các máy này sau khi nhận được yêu cầu sẽ phản hồi lại gói tin trả lời đến máy nạn nhân. Khuếch đại cuộc tấn công này lên sẽ làm cho máy chủ quá tải và dẫn đến từ chối dịch vụ. Tuy nhiên tấn công theo dạng này đã từng được coi là lỗ hổng trên các hệ điều hành. Hiện tại nó đã được cập nhật các bản vá phương thức tấn công này không còn dùng phổ biến nữa.
2. Smurf attack hoạt động như thế nào?
Gói tin ICMP được sử dụng trong cuộc tấn công này thông thường. Được sử dụng để phục vụ việc công việc quản trị mạng. Ứng dụng ping sử dụng các gói ICMP sử dụng để kiểm tra thiết bị mạng như máy tính, máy in, v.v. Ping được sử dụng để kiểm tra xem thiết bị có hoạt động ổn định hay không. Thời gian gói tin ICMP đi đến thiết bị đích và trờ về lại là bao nhiêu. Tuy nhiên giao thức ICMP không giống với giao thức TCP. Nó không có các bước bắt tay để xác nhân rằng các gói tin này là hợp lệ.
Điều này được ví như có một kẻ chơi khăm giả là một giám đốc điều hành của công ty. Người này gọi cho chủ quản của công ty đó nói với quản lý rằng nhắn nhân viên trong phòng rằng gọi đến số điện thoại riêng của hắn ta và thông báo tình hình công việc. Hắn ta đưa số của nạn nhân cho người quản lý và kết quả là nạn nhân nhận được những cuộc gọi không mong muốn.
Cách smurf attack hoạt động:
- Đầu tiên smurf malware tạo ra một gói tin mà địa chỉ nguồn là địa chỉ của máy nạn nhân.
- Gói tin được gửi broadcast đến router hoặc firewall. Router/firewall sẽ gửi tiếp gói broadcast này đến tất cả các máy trong vùng broadcast để tăng số lượng máy nhận được request.
- Mỗi thiết bị nhận được gói tin sẽ gửi phản hồi về địa chỉ nguồn của gói tin. Địa chỉ này đã được giả mạo thành địa chỉ của máy nạn nhân.
- Nạn nhân nhận được gói tin ICMP Echo Reply với số lượng quá lớn. Đồng thời có thể dẫn đến hết tài nguyên và từ chối dịch vụ.
3. Smurf attack được giảm thiểu như thế nào?
Các cuộc tấn công sử dụng phương pháp này không còn hiệu quả và dùng phổ biến nữa. Tuy nhiên vẫn có các hệ thống cũ sử dụng thiết bị quá cũ và không còn được cập nhật nữa. Đồng nghĩa sẽ có khả năng là nạn nhân của các vụ tấn công bằng phương thức này. Để giải quyết tấn công với các hệ thống mạng này là tắt địa chỉ IP Broadcasting trên mỗi router/firewall trong hệ thống mạng. Các router/firewall cũ thông thường mặc định sẽ bật IP broadcast. Trong khi các router/firewall mới thông thường sẽ tắt.