Смурфы наступают, или Как распознать и остановить smurf-атаку

В мире DDoS есть типы атак, о которых чаще говорят в прошедшем времени. Считается, что они устарели и не представляют собой серьёзную угрозу для бизнеса или госсектора. Один из таких «ветеранов» — smurf-атака. 

Впервые мир услышал о ней ещё в 1990-х. И хотя smurf-атака сегодня уже не входит в топ-списки киберугроз, в некоторых случаях она может быть особенно опасной и разрушительной для бизнеса.

Как распознать и остановить smurf-атаку

Что такое smurf-атака

Смурф-атака (smurf-атака, Smurf Attack) — это разновидность DDoS-атаки. При её запуске злоумышленник использует протокол ICMP. Атакующий направляет множество ICMP-запросов на широковещательные адреса сети, что приводит к лавинообразному росту откликов и перегрузке каналов цели. В итоге жертва получает огромное количество ответных пакетов от подменных IP-адресов. 

Задача смурф-атаки, как и любой другой DDoS-атаки, — замедлить работу целевого ресурса, вызвать критические сбои или сделать его недоступным для пользователей. 

Название «smurf-атака» возникло благодаря одноимённому инструменту, который применялся злоумышленниками для проведения DDoS-атак в 1990-х годах. Даже небольшой ICMP-пакет, сгенерированный с его помощью, нередко приводил к катастрофическим последствиям для жертвы.

По механизму действия такие атаки были схожи с поведением смурфиков — крошечных персонажей одноимённого мультсериала, способных справляться с масштабными задачами. В smurf-атаке действует тот же принцип: для её запуска требуется минимум усилий, но потенциальный ущерб может быть огромным.

В 1990-х, когда веб-инфраструктура была в целом более уязвимой и незащищённой, смурф-атаки были особенно опасными. Сегодня инциденты на практике встречаются редко. Причина очевидна — появились многочисленные и улучшенные сетевые настройки, современные механизмы фильтрации и специализированные сервисы для защиты от DDoS-атак.

Однако принцип smurf-атаки — использование усиления трафика через сторонние ресурсы (метод амплификации, amplification attack) — остаётся актуальным до сих пор. В частности, он лежит в основе таких более популярных сейчас видов DDoS-атак, как NTP- и DNS-амплификация.

Схожий тип DDoS-атаки — fraggle-атака. Главное, что отличает её от smurf-атаки, — используемый протокол. Если смурф-атака работает с ICMP, то fraggle — с UDP (как правило, через порт, предназначенный для echo-запросов). В целом и то, и другое — атаки с усилением (амплификацией), но с разницей в технической реализации.

Как работает смурф-атака 

Smurf-атака основывается на использовании ICMP-протокола, а именно — ICMP Echo Request. На практике события развиваются так:

  1. Злоумышленник отправляет поддельный запрос на широковещательный IP-адрес, подставляя в заголовке источника поддельный IP — адрес своей жертвы. 
  2. Все устройства, которые получили запрос в рамках сети, начинают массово на него отвечать. Однако генерируемый трафик направляется не к реальному источнику запроса, а к жертве, чей адрес был указан в пакете.
  3. Даже один небольшой пинг (а точнее —  ICMP Echo Request) приводит к огромному количеству ответов от множества устройств. Сгенерированный по вредоносному запросу трафик перегружает канал и сетевое оборудование жертвы, её ресурсы становятся недоступными. 

Эксперты разделяют смурф-атаки на два типа:

  • стандартные — происходят, когда сеть жертвы оказывается в центре потока запросов ICMP. Пакеты содержат адрес источника, который установлен на широковещательный адрес сети предполагаемой цели. Если они распределяются правильно, каждое устройство, подключающееся к целевой сети, затем ответит на запрос ICMP echo-запросом, что приведёт к большому трафику и, возможно, к сбою системы.
  • продвинутые — такие smurf-атаки начинаются так же, как стандартные Разница в том, что источники echo-запроса настраиваются для реакции на стороннюю жертву. Эта сторонняя жертва затем получит echo-запрос, исходящий из целевой подсети.

Главный фактор успешности smurf-атак — уязвимости сетевого оборудования и ошибки в его настройке. Если вы разрешаете вашей сети получать широковещательные ICMP-запросы и не ограничиваете ответы устройств на них, то потенциально становитесь мишенью для таких атак.

Что ещё важно знать о смурф-атаках

Smurf-атака считается простой в реализации. В отличие от других DDoS-атак, для генерации вредоносного трафика злоумышленнику не нужны ботнет или серьёзные вычислительные мощности. Достаточно только верно прописать запрос и направить его на уязвимую сеть. 

При этом идентифицировать реальный источник смурф-атаки — не всегда просто. В системах мониторинга трафика он подменяется IP-адресами устройств, которые генерят ответы. 

Ещё одна сложность заключается в том, что ICMP-протокол активно используется в легитимных целях. Поэтому блокировка всех ICMP-запросов зачастую невозможна. 

Как не пропустить начало smurf-атаки 

Всё просто: необходимо внимательно следить за сетевым трафиком и заранее настроить защитные механизмы.

Первым признаком атаки может стать резкое увеличение ICMP-трафика, особенно если запросы приходят на широковещательные адреса. Важно настроить маршрутизаторы и коммутаторы так, чтобы они не отвечали на подобные запросы. 

Дополнительно стоит ограничить ICMP-трафик с помощью ACL (Access Control Lists), запретив ненужные echo-запросы. Полезно включить механизм uRPF (Unicast Reverse Path Forwarding), который отсеивает пакеты с поддельными IP-адресами. 

Если атака уже началась, следует немедленно заблокировать источник (если это возможно), перенастроить сетевые устройства для отбрасывания бродкаст-пакетов и обратиться к вашему провайдеру для фильтрации входящего трафика. Комплексный подход к мониторингу и настройке инфраструктуры минимизирует риски и предотвращает серьёзные последствия.

Как защититься от smurf-атак

Несмотря на солидный возраст этой разновидности DDoS-атак и некоторые сложности в обнаружении, организовать эффективную защиту можно всегда. 

Главное — выполнить хотя бы минимум действий на уровне корпоративной инфраструктуры: 

  • ограничить обработку широковещательных ICMP-запросов и исключить ответы на них, 
  • включить фильтрацию трафика с подменных IP-адресов и контролировать активность ICMP-протокола в сети.

Дополнительно стоит использовать antiDDoS-сервисы для защиты сетей, которые позволяют обнаруживать и блокировать отражённый ICMP-трафик на соответствующем уровне OSI. Это особенно важно, поскольку даже короткая по времени атака может вызвать перебои в работе сервисов или отказ критически важных систем.

Резюмируем

Smurf-атака — яркий пример того, как устаревшие методы могут продолжать наносить реальный вред, если вовремя не принять базовые меры защиты. Это ещё один аргумент в пользу постоянной актуализации настроек инфраструктуры и подключения профессиональной защиты от DDoS-атак. Помните: даже крохотный «смурф» может вырасти в настоящего монстра, если его не остановить у входа в вашу сеть.

Защита сети от DDoS-атак

  • Подключение за 10 минут
  • Поддержка 24×7
Подключить