آشنایی با حمله Smurf، نحوه عملکرد و روش مقابله با آن
حمله Smurf نوعی از حمله DDoS است که با ارسال حجم بالایی از درخواستها، شبکه را با کندی مواجه میکند یا از کار میاندازد یا حتی میتواند از دست رفتن دادهها را به همراه داشته باشد. اگر میخواهید بدانید حملات Smurf چیست، چه انواعی دارد و چگونه میتوان با آن مقابله کرد، با این مقاله ابر زَس همراه باشید.
ابزار حمله اسمورف از آسیبپذیری دو پروتکل IP و ICMP سوء استفاده میکند. پیش از این در مطلب دیگری به این موضوع پرداخته بودیم که IP چیست. پروتکل ICMP (مخفف Internet Control Message Protocol) برای تشخیص اتصال دستگاه به شبکه و ارتباط آن با فرستنده کاربرد دارد. Ping ابزار مشهوری است که از پروتکل ICMP برای تشخصی این موضوع استفاده میکند و علاوه بر تست ارتباط بین دستگاههای شبکه، میزان تاخیر شبکه و نرخ از دست رفتن بستهها را نیز میسنجد. کمی بعدتر در مورد نحوه عملکرد حمله اسمورف به طور کامل توضیح میدهیم.
تاریخچه حمله Smurf
احتمالا با شنیدن نام «Smurf attack» به یاد اسمورفها میافتید؛ همان موجودات آبی رنگ کوچک در داستانهای مصور و سریال تلویزیونی مشهور. نام «Smurf attack» از زمانی مطرح شد که یک ابزار سوء استفاده مشهور با نام «Smurf» در دهه ۱۹۹۰ محبوبیت یافت. دلیل استفاده از نام موجودات کوچک برای حمله اسمورف این است که در این حمله از بستههای بسیار کوچک ICMP در شبکه سوء استفاده میشود که اهداف بزرگی را هدف قرار میدهند. به عبارت دیگر منظور از نام اسمورف این است که چگونه نیروهای بسیار کوچک میتوانند تاثیرات بزرگی به جا بگذارند.
ابزار حمله اسمورف اولین بار توسط هکری به نام «Dan Moschuk» و با نام مستعار «TFreak» توسعه یافت. اولین حمله اسمورف که شناسایی شده به سال ۱۹۹۸ و به دانشگاه مینهسوتا ایالات متحده باز میگردد. در این حمله کامپیوترهایی در سراسر ایالت خاموش شدند و حتی برخی از دادهها از بین رفت.
سالها است که بسیاری از تولیدکنندگان تجهیزات شبکه و نرمافزارهای امنیتی، راهکارهای تشخیص و مقابله با این حملات را در نظر گرفتهاند. با این حال هنوز هم خطرات حمله اسمورف وجود دارد.
نحوه عملکرد حمله Smurf
هکری که قصد حمله اسمورف را دارد باید پیشنیازهای زیر را در اختیار داشته باشد:
- بدافزار حمله اسمورف: جهت اجرای حمله
- آدرس آیپی جعلی: برای بازگشت درخواستها به قربانی حمله
- بسته ICMP: برای در هم شکستن شبکه قربانی
در حمله DDoS از نوع Smurf یک بدافزار، بستههای درخواست ICMP (یا ICMP Echo Requests) را به تمامی دستگاههای موجود در یک شبکه بهصورت برادکست (broadcast) ارسال میکند. اما در هر یک از این بستهها، به جای اینکه آدرس آیپی فرستنده قرار داده شده باشد، یک آدرس آیپی جعلی برای بازگشت پاسخ (ICMP Echo Reply) قید شده که در واقع آدرس آیپی قربانی است.
در ادامه، دستگاههای موجود در شبکه، پاسخ خود را به آدرس جعلی (دستگاه قربانی) میفرستند. به این ترتیب قربانی، تعداد بالایی از بستههای جعلی را دریافت میکند و حمله DDoS اتفاق میافتد. در نهایت قربانی با مشکل مواجه میشود.
اما شاید برایتان سوال باشد که چه فاکتوری، موجب میشود یک حمله اسمورف بزرگتر از دیگری باشد. فاکتوری که در این مورد باید در نظر گرفت، تقویت حمله (Amplification) است که اشاره به تعداد هاستهای موجود در یک شبکه دارد. به عنوان مثال اگر ICMP Echo Request از سوی هکر در یک شبکه برادکست به ۱۰۰۰ هاست ارسال شود، به تعداد ۱۰۰۰ پاسخ (ICMP Echo Reply) به قربانی ارسال میگردد. هر چه تعداد این بستههای ارسالی به قربانی بیشتر و از طرف دیگر پهنای باند شبکه آن کمتر باشد، قربانی با مشکل شدیدتری در شبکه مواجه میشود.
تفاوت حمله Smurf با Fraggle و Ping Flood
حمله Fraggle نیز مشابه حمله Smurf یک حمله DDoS محسوب میشود و هدفش به طور مشابه تحت تاثیر قرار دادن شبکه قربانی است. البته حمله اسمورف برای ارسال سیلاب بستهها به سمت قربانی بر بستههای ICMP متکی است، در حالی که حمله Fraggle از بستههای اکو UDP برای حمله به قربانی استفاده میکند.
برخی از علاقهمندان به حوزه امنیت سایبری تصور میکنند حمله Ping Flood تفاوتی با حمله Smurf ندارد؛ چرا که هر دو آنها از بسته های ICMP Echo Reply برای حمله به قربانی بهره میبرند. اما واقعیت این است که این دو حمله متفاوت هستند. در حمله اسمورف از فاکتور تقویت (Amplification) برای افزایش تاثیر گذاری حمله استفاده میشود در حالی که در حمله Ping Flood چنین فاکتوری وجود ندارد. برای آشنایی بیشتر با حملات فلاد، میتوانید مطلب «حمله Flood چیست؟» را مطالعه نمایید.
انواع حملات Smurf
حملات اسمورف به دو گروه کلی حملات ساده و پیشرفته دستهبندی میشوند.
حمله Smurf ساده
در حمله اسمورف ساده، سیلابی از بستههای ICMP Echo Reply تنها به یک شبکه اتفاق میافتد و در نهایت عملکرد طبیعی سرور متوقف میشود.
حمله Smurf پیشرفته
در حمله اسمورف پیشرفته، به چندین شبکه به طور همزمان حمله میشود. این نوع حمله در ابتدا با روشی مشابه حمله ساده شروع میشود اما بستههای ICMP Echo Request به گونهای تنظیم میشوند که قربانیهای بیشتری را تحت تاثیر قرار دهند. در نتیجه میتوان گفت که با این روش حمله، هکرها میتوانند به گروه بزرگتری از اهداف خود حمله کنند.
تاثیرات حمله Smurf
امروزه حملات Smurf در بین حملات شایع محسوب نمیشوند اما همچنان مخاطراتی را به همراه دارند. به عنوان مثال ممکن است شما با دانلود یک بدافزار اسمورف از یک وبسایت یا لینک آلوده یا پیوست یک ایمیل اسپم راه را برای یک حمله اسمورف توسط هکرها باز کنید. این بدافزار در سیستمعامل دستگاه شما بهصورت پنهانی باقی مانده و منتظر میماند تا هکر از راه دور یک دستور از پیش تعیین شده را برای حمله به مقصد خاص و در زمان خاص برایش ارسال کند.
همچنین باید اشاره کرد که برخی از بدافزارهای اسمورف با روتکیت همراه شدهاند که به کاربران غیر مجاز هر سیستم اجازه به دست گرفتن کنترل شبکه را میدهند و در عین حال از دید دیگر کاربران سیستم مخفی میمانند. روتکیتها نرمافزارهایی هستند که کنترل یک سیستم را به دست میگیرند و کاربر متوجه حضور آنها نمیشود. هکرها از طریق روتکیتها میتوانند تمامی تنظیمات سیستم را تغییر دهند.
اما حداقل آسیبی که حملات Smurf میتوانند وارد کنند، کاهش سرعت شبکه قربانی یا دستگاهش است. در بیشتر شرایط، حملات اسمورف نتایجی مشابه دیگر حملات DDoS دارند؛ یعنی موجب میشوند شبکهها یا دستگاهها از دسترس خارج شوند یا غیر قابل استفاده باشند. در شرایط وخیمتر، حملات اسمورف حتی میتوانند از دست رفتن دادهها را به همراه داشته باشند.
راهکارهای مقابله با smurf attack
حملات اسمورف با وجود اینکه حملاتی قدیمی محسوب میشوند اما همچنان تاثیر گذار هستند. برای مقابله با حمله اسمورف میتوان راهکارهای زیر را در نظر گرفت:
غیر فعال کردن برادکست آیپی: IP broadcasting یک ویژگی برای ارسال بستههای داده به تمامی دستگآههای داخل یک شبکه است. برادکست آیپی دقیقا همان قابلیتی است که حمله Smurf برای افزایش گستردگی حمله به آن نیاز دارد. به همین دلیل پیشنهاد میشود این ویژگی را در روترها و فایروالها غیرفعال نمایید.
تغییر تنظیمات دستگاههای موجود در شبکه و روترها: حمله Smurf از ICMP echo request سوء استفاده میکند. در نتیجه پیشنهاد میشود روترها و سایر دستگاههای موجود در شبکه را به گونهای پیکربندی نمایید که اینگونه درخواستها را نادیده بگیرند. البته باید در نظر داشته باشید که در این صورت عیبیابی شبکه از طریق ابزارهایی مبتنی بر ICMP مختل خواهد شد.
استفاده از راهکار محافظت ابری: راهکار محافظت ابری زَس به کمک اسکرابینگ سنترهای توزیع شده، از سرور مبدا شما در مقابل حملات متنوع DDoS از جمله حمله اسمورف جلوگیری میکند. به این ترتیب میتوانید اطمینان داشته باشید که حتی قدرتمندترین حملات هم راهی به سوی سرور شما پیدا نخواهند کرد.