Smurf attack là gì? Tấn công ddos bằng phương thức Internet Control Message Protocol

15/11/2019

Smurf attack là gì?

Smurf attack là dạng tấn công từ chối dịch vụ (DDOS), kẻ tấn công cố gắng tấn công đến máy chủ của nạn nhân bằng gói tin Internet Control Message Protocol (ICPM). Bằng cách gửi yêu cầu bằng IP giả mạo máy chủ của nạn nhân và gửi gói tin đến một hoặc nhiều máy tính trong cùng mạng, các máy này sau khi nhận được yêu cầu sẽ phản hồi lại gói tin trả lời đến máy nạn nhân và khuếch đại cuộc tấn công này lên sẽ làm cho máy chủ quá tải và dẫn đến từ chối dịch vụ. Tuy nhiên tấn công theo dạng này đã từng được coi là lỗ hổng trên các hệ điều hành và đã được cập nhật các bản vá nên hiện tại phương thức tấn công này không còn được dùng phổ biến nữa.

Smurf-Attack-thue-may-chu

Smurf attack hoạt động như thế nào?

Gói tin ICMP được sử dụng trong cuộc tấn công này thông thường được sử dụng để phục vụ việc công việc quản trị mạng. Ứng dụng ping sử dụng các gói ICMP được các quản trị viên sử dụng để kiểm tra thiết bị mạng như máy tính, máy in, thiết bị định tuyến,.. Ping được sử dụng để kiểm tra xem thiết bị có hoạt động ổn định hay không, thời gian gói tin ICMP đi đến thiết bị đích và trờ về lại là bao nhiêu,.. Tuy nhiên giao thức ICMP không giống với giao thức TCP, nó không có các bước bắt tay để xác nhân rằng các gói tin này là hợp lệ.

Điều này được ví như có một kẻ chơi khăm giả là một giám đốc điều hành của công ty gọi cho quản của công ty đó nói với quản lý rằng nhắn nhân viên trong phòng rằng gọi đến số điện thoại riêng của hắn ta và thông báo tình hình công việc. Hắn ta đưa số của nạn nhân cho người quản lý và kết quả là nạn nhân nhận được những cuộc gọi không mong muốn.

Cách smurf attack hoạt động:

  1. Đầu tiên smurf malware tạo ra một gói tin mà địa chỉ nguồn là địa chỉ của máy nạn nhân.
  2. Gói tin được gửi broadcast đến router hoặc firewall. Router/firewall sẽ gửi tiếp gói broadcast này đến tất cả các máy trong vùng broadcast để tăng số lượng máy nhân được request.
  3. Mỗi thiết bị nhận được gói tin sẽ gửi phản hồi về địa chỉ nguồn của gói tin. Địa chỉ này đã được giả mạo thành địa chỉ của máy nạn nhân.
  4. Nạn nhân nhận được gói tin ICMP Echo Reply với số lượng quá lớn có thể dẫn đến hết tài nguyên và từ chối dịch vụ.

Smurf attack được giảm thiểu như thế nào?

Như đã nói ở trên các cuộc tấn công sử dụng phương pháp này không còn hiệu quả và được dùng phổ biến nữa. Tuy nhiên vẫn có các hệ thống cũ sử dụng thiết bị quá cũ và không còn được cập nhật nữa sẽ có khả năng là nạn nhân của các vụ tấn công bằng phương thức này. Cách đơn giản nhất để giải quyết tấn công với các hệ thống mạng này là tắt địa chỉa IP Broadcasting trên mỗi router/firewall trong hệ thống mạng đi. Các router/firewall cũ thông thường mặc định sẽ bật IP broadcast trong khi các router/firewall mới thông thường sẽ tắt.

thue may chu vat ly