Як захистити свою організацію від смурфінг-атак хакерів

Сказати, що сьогодні кібербезпека хвилює багато організацій, було б нічого не сказати, враховуючи широкий спектр атак у космосі. Кібербезпека є надзвичайно важливою проблемою, яка, якщо її не контролювати, може зруйнувати ваш бізнес.

Кібератака відбувається, коли загроза зі зловмисними намірами використовує вразливі місця у вашій системі. Ці атаки часто спрямовані на викрадення, зміну, виведення з ладу, знищення або доступ до неавторизованих активів. Сьогодні майже всі сучасні компанії працюють з мережами комп’ютерів, які полегшують роботу. Хоча переваги очевидні, коли команди масштабують виробництво, існує пов’язаний із цим ризик для безпеки.

Ця публікація є детальним аналізом атак смурфінгу в сфері кібербезпеки, атак, спрямованих на заборону користувачам доступу до серверів, зокрема за допомогою обсягу. Зловмисники використовують величезну кількість запитів, роблячи певну мережу марною. Давайте зануримося.

Короткий огляд DoS-атак

І перед тим, як дізнатися все про smurf-атаки, вам потрібно зрозуміти концепцію відмови в обслуговуванні (DoS) і розподіленої відмови в обслуговуванні (DDoS).

DDoS або DoS-атаки спрямовані на те, щоб зробити ресурси вашої мережі недоступними для законних користувачів. Це вторгнення здійснюється шляхом атаки вашої мережі з кількох точок по всій ній. DoS-атаки мають кілька класифікацій, як зазначено нижче:

  • Flood-атаки – у цьому типі атаки великі обсяги даних надсилаються у ваші системи через кілька скомпрометованих пристроїв, які називаються зомбі або ботами. Атаки повені включають протокол передачі гіпертексту (HTTP), протокол дейтаграм користувача (UDP), протокол керуючих повідомлень Інтернету (ICMP) або протокол ініціації сеансу (SIP).
  • Атаки посилення – під час цієї атаки боти надсилають повідомлення на вибрану широкомовну IP-адресу. Основна логіка полягає в тому, що всі системи в підмережі, охоплені розкритою адресою, надсилають відповідь вашій системі. Найпоширенішими типами посилених атак DoS є fraggle і smurf.
  • Атаки Coremelt – у цьому випадку хакер розділяє ботів на дві групи. Хакер наказує ботам спілкуватися з іншою групою, що призводить до надсилання та отримання величезних обсягів даних. Якщо зв’язок успішний, відстеження цієї атаки через законні пакети буде складним. Що відбувається, так це те, що зловмисник націлюється на хост, а зомбі спілкуються, створюючи потоп у мережі. Великі пакети направляються на ту саму IP-адресу, пункт призначення та номер порту, що руйнує систему.
  • TCP SYN-атаки – у цьому типі атаки хакери використовують уразливі місця протоколу керування передачею (TCP), надсилаючи багато запитів SYN на сервер. Наприклад, сервер може відповісти на запит, надіславши пакети SYN і підтвердження (ACK), і чекати ACK від клієнта. Якщо зловмисник не надсилає пакет ACK, сервер все ще очікує неіснуючого підтвердження. Оскільки черга буфера обмежена, сервер перевантажується, і всі інші вхідні дійсні запити відхиляються.
  • Атаки на сервер автентифікації – у цьому типі атаки сервери автентифікації перевіряють фальшивий підпис зловмисника та споживають більше ресурсів, ніж вони повинні для створення підписів.
  • Атаки запитів CGI – зловмисник надсилає великі запити інтерфейсу загального шлюзу (CGI), використовуючи цикли та ресурси вашого ЦП.
  • Що таке атаки смурфів?

    Усі атаки Smurf базуються на тому, що ваш комп’ютер стає непрацездатним.

    Smurf-атака — це DDoS-атака, яка переповнює вашу мережу великою кількістю запитів. Smurf-атака надсилає потік запитів протоколу контрольних повідомлень Інтернету (ICPM) до вашої цільової мережі, використовуючи вразливості IP, поступово сповільнюючи її та врешті-решт вимикаючи всі пристрої, що працюють у мережі.

    У разі успішної атаки смурфа на ваш бізнес ваша організація може втратити значні доходи. В інших випадках вплив можна побачити у закритті певних служб, перешкоджанні відвідувачам веб-сайту або перенаправленні трафіку на сайти конкурентів. У гіршому випадку атаки smurf можуть приховати більш серйозні загрози, такі як крадіжка даних і інтелектуальної власності.

    Назва атаки Smurf походить від інструменту експлойту під назвою smurf у 1990-х роках. Інструмент створював маленькі пакети ICPM, які несподівано знищували великі цілі – як у популярному мультфільмі «Смурфики».

    Типи атак смурфів

    Існує два варіанти смурф-атак, класифіковані за складністю їх виконання, базовий і просунутий.

    #1. Базовий

    У цьому випадку атака атакує цільову мережу необмеженою кількістю ехо-запитів ICMP. Потім запити спрямовуються на всі пристрої, підключені до цього мережевого сервера, надаючи відповіді. Отже, обсяг відповіді є високим, щоб відповідати всім вхідним запитам, і таким чином перевантажує сервер.

    #2. Просунутий

    Просунуті атаки smurf будуються на базових, налаштовуючи джерела й таким чином реагуючи на сторонніх жертв. Тут хакер розширює вектор своєї атаки, націлюючись на більші групи жертв і більш масштабні мережі.

    Як працюють атаки смурфів

    Атаки Smurf відбуваються подібно до атак ping, які виходять за рамки цієї статті, враховуючи методи їх виконання. Однак основна відмінність помітна в цільовій функції експлойта.

    Як правило, під час smurf-атак хакер надсилає ехо-запити ICPM, керуючись автоматизованими відповідями сервера. Виконання виконується з більшою смугою пропускання, ніж попередньо визначений діапазон покриття цільової області. Ось технічна розбивка кроків атаки Smurf, щоб допомогти вам зрозуміти, як вони працюють:

  • Першим кроком є ​​генерація підроблених ехо-запитів із підробленими вихідними IP-адресами за допомогою зловмисного ПЗ Smurf. Підроблений IP – це адреса цільового сервера. Ехо-запити розробляються з джерел, розроблених зловмисниками, підроблених під виглядом легітимності.
  • Другий крок передбачає надсилання запитів за допомогою проміжної широкомовної мережі IP.
  • Третій крок передбачає передачу запитів на всі хости мережі.
  • Тут хости надсилають відповіді ICMP на цільову адресу.
  • Сервер припиняє роботу на завершальному етапі, якщо надходить достатня кількість вхідних відповідей ICMP.
  • Далі ми розберемо різницю між атаками Smurf і DDoS.

    Smurf проти DDoS-атак

    Як ви бачили, атаки smurf включають заповнення мережі пакетами ICMP. Модель нападу можна порівняти з тим, як група може створити багато шуму, кричачи в унісон. Якщо ви зацікавлені, пам’ятайте, що smurf-атаки є підгалуззю в категорії DDoS-атак. З іншого боку, розподілена відмова в обслуговуванні (DDoS) — це мережеві атаки, які передбачають переповнення цільової мережі трафіком із різних джерел.

    Основна відмінність полягає в тому, що smurf-атаки виконуються шляхом надсилання багатьох ехо-запитів ICMP на широкомовну адресу мережі, тоді як DDoS-атаки виконуються шляхом перевантаження мережі трафіком, як правило, за допомогою ботнетів.

    Смурф проти атак Фраггла

    Атаки фраггла є різновидом атак смурфів. У той час як атаки smurf включають ICMP ехо-запити, атаки Fraggle надсилають запити протоколу дейтаграм користувача (UDP).

    Незважаючи на свої унікальні методи атаки, вони націлені на вразливості IP, досягаючи подібних результатів. І щоб просвітити вас, ви можете використовувати ті самі методи профілактики, які обговорюються далі в публікації, щоб запобігти двоїнню.

    Наслідки атак смурфів

    #1. Втрата доходу

    Поки мережа сповільнюється або вимикається, значна частина операцій вашої організації переривається на деякий час. А коли послуги недоступні, дохід, який можна було отримати, втрачається.

    #2. Втрата даних

    Ви не здивуєтеся, якщо хакер вкраде інформацію, поки ви та ваша команда обробляєте DoS-атаку.

    #3. Пошкодження репутації

    Чи можете ви пригадати розгніваних клієнтів, які покладалися на ваші послуги? Вони можуть припинити використання вашого продукту в таких випадках, як розкриття конфіденційних даних.

    Як захиститися від атак смурфів

    Що стосується захисту від атак смурфів, ми згрупували заходи в кілька розділів; ідентифікаційні ознаки, найкращі методи запобігання, критерії виявлення та рішення для пом’якшення атак. Читайте далі.

    Ознаки нападу смурфа

    Іноді на вашому комп’ютері може бути зловмисне програмне забезпечення smurf, яке залишається неактивним, доки хакер не активує його. Ця природа є одним з обмежуючих факторів, що ускладнює виявлення атак смурфів. Незалежно від того, чи є ви власником веб-сайту чи відвідувачем, найпомітнішою ознакою атаки smurf, з якою ви зіткнетеся, є повільна відповідь сервера або непрацездатність.

    Однак краще зазначити, що мережа може вимикатися з багатьох причин. Тому не варто просто робити висновки. Покопайтеся у своїй мережі, щоб виявити зловмисну ​​діяльність, з якою ви маєте справу. Якщо ви підозрюєте, що ваші комп’ютери та їхні мережі заражені зловмисним програмним забезпеченням, ознайомтеся з найкращим безкоштовним антивірусом для захисту свого ПК.

    Як запобігти атакам смурфів

    Хоча атаки смурфів є старими техніками, вони ефективні. Однак їх важко виявити, що вимагає стратегій захисту від них. Ось кілька практик, які ви можете застосувати, щоб уникнути атак смурфів.

  • Вимкнення IP-трансляції – атаки Smurf значною мірою покладаються на цю функцію для розширення зони атаки, оскільки вона надсилає пакети даних на всі пристрої в певній мережі.
  • Налаштування хостів і маршрутизаторів. Як згадувалося раніше, smurf-атаки використовують ехо-запити ICMP. Найкраще налаштувати хости та маршрутизатори на ігнорування цих запитів.
  • Розширте пропускну здатність. Найкраще було б мати достатню пропускну здатність, щоб впоратися зі сплесками трафіку, навіть якщо ініціюється зловмисна діяльність.
  • Надлишковість побудови – переконайтеся, що ваші сервери розподілені між багатьма центрами обробки даних, щоб отримати чудову систему збалансування навантаження для розподілу трафіку. Якщо можливо, центри обробки даних охоплюють різні регіони однієї країни. Ви навіть можете підключити їх до інших мереж.
  • Захистіть свої DNS-сервери. Ви можете перенести свої сервери на хмарні DNS-провайдери, зокрема ті, які створені з можливостями запобігання DDoS.
  • Створіть план – ви можете розробити детальну стратегію реагування на атаку смурфа, яка охоплює всі аспекти обробки атаки, включаючи методи зв’язку, пом’якшення та відновлення. Візьмемо приклад. Припустімо, що ви керуєте організацією, і хакер атакує вашу мережу, викрадаючи деякі дані. Ви впораєтеся з ситуацією? Чи є у вас якісь стратегії?
  • Оцінка ризику. Створіть процедуру регулярного аудиту пристроїв, серверів і мережі. Переконайтеся, що ви добре знаєте сильні сторони та вразливі місця вашої мережі, як апаратних, так і програмних компонентів, щоб використовувати їх як будівельні блоки для визначення того, наскільки добре та які стратегії ви використовуєте для створення свого плану.
  • Сегментуйте свою мережу – якщо ви розділите ваші системи, є мінімальні шанси, що ваша мережа буде переповнена.
  • Ви також можете налаштувати брандмауер, щоб він відхиляв запити ping за межами вашої мережі. Розгляньте можливість придбання нового маршрутизатора з такими конфігураціями за замовчуванням.

    Як виявити атаки смурфа

    З вашими новими знаннями ви вже вжили заходів щодо запобігання смурфу. І те, що ці заходи існують, не означає, що хакери припиняють атакувати ваші системи. Ви можете залучити адміністратора мережі для моніторингу вашої мережі, використовуючи їхній досвід.

    Адміністратор мережі допомагає визначити ознаки, які рідко можна помітити. У той час як у разі атаки вони можуть мати справу з маршрутизаторами, збоями серверів і пропускною здатністю, тоді як підтримка працює над обробкою розмов із клієнтами у випадку збою продукту.

    Як пом’якшити атаки смурфів

    Іноді хакер може успішно здійснити атаку, незважаючи на всі ваші запобіжні заходи. У цьому сценарії основний запит полягає в тому, як зупинити атаку Smurf. Для цього не потрібні кричущі чи складні рухи; не хвилюйтеся.

    Ви можете пом’якшити атаки smurf за допомогою комбінованих функцій, які фільтрують запити ping, запити пакетів ICMP і метод надмірного надання. Ця комбінація дозволяє вам, як адміністратору мережі, ідентифікувати можливі запити, що надходять із підроблених джерел, і видаляти їх, забезпечуючи нормальну роботу сервера.

    Ось протоколи пошкоджень, які можна використовувати у разі атаки:

  • Негайно обмежте атаковану інфраструктуру або сервер, щоб відхиляти запити від будь-якої структури трансляції. Такий підхід дозволяє ізолювати ваш сервер, даючи йому час для усунення навантаження.
  • Перепрограмуйте хост, щоб він не відповідав на запити передбачуваних загроз.
  • Заключні слова

    Керування компанією вимагає від вас особливої ​​уваги до кібербезпеки, щоб не зазнати ані витоку даних, ані фінансових втрат. Зважаючи на численні загрози кібербезпеці, профілактика є найкращою стратегією для захисту вашого бізнесу.

    І хоча smurf-атаки можуть не становити найгострішої загрози кібербезпеці, розуміння smurf-атаки може сформувати ваше розуміння протидії подібним DoS-атакам. Ви можете використовувати всі методи безпеки, описані в цій публікації.

    Як ви бачили, загальна безпека мережі може бути повністю ефективною лише проти деяких атак кібербезпеки; нам потрібно чітко розуміти загрозу, яку ми запобігаємо, щоб використовувати найкращі критерії.

    Далі перегляньте фішингову атаку 101: як захистити свій бізнес.