Ataque pitufo

Tipo de ataque a una red informática

Un ataque Smurf es un ataque distribuido de denegación de servicio en el que una gran cantidad de paquetes del Protocolo de mensajes de control de Internet (ICMP) con la IP de origen falsificada de la víctima se transmiten a una red informática utilizando una dirección de transmisión IP . ^[1] La mayoría de los dispositivos en una red, de forma predeterminada, responderán a esto enviando una respuesta a la dirección IP de origen. Si la cantidad de máquinas en la red que reciben y responden a estos paquetes es muy grande, la computadora de la víctima se verá inundada de tráfico. Esto puede ralentizar el ordenador de la víctima hasta el punto de que resulte imposible trabajar con él.

Historia

La herramienta original para crear un ataque Smurf fue escrita por Dan Moschuk (alias TFreak) en 1997. ^{[2] [3]}

A finales de la década de 1990, muchas redes IP participaban en ataques Smurf si se les solicitaba (es decir, respondían a solicitudes ICMP enviadas a direcciones de transmisión). El nombre proviene de la idea de que atacantes muy pequeños, pero numerosos, abruman a un oponente mucho más grande (ver Los Pitufos ). Hoy en día, los administradores pueden hacer que una red sea inmune a tales abusos; por lo tanto, muy pocas redes siguen siendo vulnerables a los ataques de los Pitufos. ^[4]

Método

Un amplificador Pitufo es una red informática que se presta para ser utilizada en un ataque Pitufo. Los amplificadores Smurf actúan para empeorar la gravedad de un ataque Smurf porque están configurados de tal manera que generan una gran cantidad de respuestas ICMP a la víctima en la dirección IP de origen falsificada.

En DDoS, la amplificación es el grado de mejora del ancho de banda que sufre un tráfico de ataque original (con la ayuda de amplificadores Smurf) durante su transmisión hacia la computadora víctima. Un factor de amplificación de 100, por ejemplo, significa que un atacante podría crear 100 Mb/s de tráfico utilizando sólo 1 Mb/s de su propio ancho de banda. ^[5]

Bajo el supuesto de que no se toman contramedidas para amortiguar el efecto de un ataque Smurf, esto es lo que sucede en la red objetivo con n hosts activos (que responderán a las solicitudes de eco ICMP). Los paquetes de solicitud de eco ICMP tienen una dirección de origen falsificada (el objetivo de los Pitufos) y una dirección de destino (el chivo expiatorio; la fuente aparente del ataque). Ambas direcciones pueden adoptar dos formas: unidifusión y difusión .

La forma de unidifusión dual es comparable con un ping normal: se envía una solicitud de eco ICMP al chivo expiatorio (un único host), que envía una única respuesta de eco ICMP (un pitufo) al objetivo (el único host en la dirección de origen). . Este tipo de ataque tiene un factor de amplificación de 1, lo que significa: solo un pitufo por ping.

Cuando el objetivo es una dirección de unidifusión y el destino es la dirección de transmisión de la red del objetivo, todos los hosts de la red recibirán una solicitud de eco. A cambio, cada uno de ellos responderá al objetivo, por lo que el objetivo se verá inundado de n Pitufos. Factor de amplificación = n . Si n es pequeño, un anfitrión puede verse obstaculizado pero no paralizado. Si n es grande, un host puede detenerse.

Si el objetivo es la dirección de transmisión y el chivo expiatorio una dirección de unidifusión, cada host de la red recibirá un solo Smurf por ping, por lo que un factor de amplificación de 1 por host, pero un factor de n para la red. Generalmente, una red podría hacer frente a esta forma de ataque, si n no es demasiado grande.

Cuando tanto la dirección de origen como la de destino en el paquete original se configuran en la dirección de transmisión de la red de destino, las cosas empiezan a salirse de control rápidamente. Todos los hosts reciben una solicitud de eco, pero todas las respuestas se transmiten nuevamente a todos los hosts. Cada host recibirá un ping inicial, transmitirá la respuesta y obtendrá una respuesta de todos los n-1 hosts. Un factor de amplificación de n para un solo host, pero un factor de amplificación de n ² para la red.

Las solicitudes de eco ICMP normalmente se envían una vez por segundo. La respuesta deberá contener el contenido de la solicitud; unos pocos bytes, normalmente. Un único ping (difusión doble) a una red con 100 hosts hace que la red procese 10 000 paquetes. Si la carga útil del ping aumenta a 15 000 bytes (o 10 paquetes completos en Ethernet ), ese ping hará que la red tenga que procesar 100 000 paquetes grandes por segundo. Envíe más paquetes por segundo y cualquier red colapsaría bajo la carga. Esto hará que cualquier host de la red sea inalcanzable mientras dure el ataque.

Efecto

Un ataque pitufo puede saturar servidores y redes. El ancho de banda de la red de comunicación puede agotarse y provocar que la red de comunicación se paralice. ^[6]

Mitigación

La solución es doble:

1. Configure hosts y enrutadores para ignorar paquetes donde la dirección de origen sea una dirección de transmisión; y
2. Configure los enrutadores para que no reenvíen paquetes dirigidos a direcciones de transmisión. Hasta 1999, los estándares exigían que los enrutadores reenviaran dichos paquetes de forma predeterminada. Desde entonces, se cambió el estándar predeterminado para no reenviar dichos paquetes. ^[7]

También es importante que los ISP implementen el filtrado de entrada , que rechaza los paquetes atacantes basándose en la dirección de origen falsificada. ^[8]

Mitigación en un enrutador Cisco

Un ejemplo de configuración de un enrutador para que no reenvíe paquetes a direcciones de transmisión, para un enrutador Cisco , es:

Router(config-if)# no ip directed-broadcast^[9]

(Este ejemplo no protege a una red para que no se convierta en el objetivo de un ataque de los Pitufos; simplemente evita que la red participe en un ataque de los Pitufos).

Ataque frágil

Un ataque Fraggle (llamado así por las criaturas de la serie de televisión de marionetas Fraggle Rock ) es una variación de un ataque Smurf donde un atacante envía una gran cantidad de tráfico UDP a los puertos 7 ( Echo ) y 19 ( CHARGEN ). Funciona de manera similar al ataque Smurf en el sentido de que muchas computadoras en la red responderán a este tráfico enviándolo de regreso a la IP de origen falsificada de la víctima, inundándola con tráfico. ^[10]

Fraggle.cTFreak también publicó el código fuente del ataque. ^[11]

Ver también

• Ataque de denegación de servicio
• Inundación de ping
• Registro de amplificadores pitufos

Referencias

1. Sol, Fei Xian (2011). "Modelo de evaluación de riesgos basado en la teoría del peligro para ataques de pitufos". Materiales clave de ingeniería . 467–469: 515–521. doi : 10.4028/www.scientific.net/KEM.467-469.515. ISSN  1662-9795. S2CID  110045205.
2. "Un fenómeno". Hackepedia. 28 de marzo de 2013 . Consultado el 13 de noviembre de 2019 .
3. Pramatarov, Martín (9 de septiembre de 2021). "¿Qué es un ataque DDoS de los Pitufos?". Blog de CloudDNS . Consultado el 15 de septiembre de 2022 .
4. Por ejemplo, netscan.org (Web Archive) mostró 122.945 redes rotas al 25 de enero de 1999, pero sólo 2.417 al 6 de enero de 2005.
5. S. Kumar (5 de julio de 2007). Kumar, Sanjeev (2007). "Amplificación de ataques de denegación de servicio distribuido (DDoS) basada en pitufos en Internet". Segunda Conferencia Internacional sobre Monitoreo y Protección de Internet (ICIMP 2007) . pag. 25. doi :10.1109/ICIMP.2007.42. ISBN 978-0-7695-2911-0. S2CID  14876546 . Consultado el 30 de diciembre de 2020 . {{cite book}}: |website=ignorado ( ayuda )
6. Hartanto, Sri (30 de julio de 2023). "El impacto del ataque de los pitufos al servidor web en la red de comunicación y sus prevenciones". Revista Internacional de Ciencias Aplicadas Sostenibles (IJSAS) . 1 (1). Sri Hartanto: 35–46. ISSN  3025-5597.
7. D. Senie (agosto de 1999). Cambio del valor predeterminado para transmisiones dirigidas en enrutadores. Grupo de Trabajo de Red. doi : 10.17487/RFC2644 . BCP 34. RFC 2644. Mejores prácticas comunes. Actualiza RFC 1812.
8. Ferguson, P.; Senie, D. (mayo de 2000). Filtrado de ingreso a la red: derrotar los ataques de denegación de servicio que emplean suplantación de dirección de origen IP. IETF . doi : 10.17487/RFC2827 . BCP 38. RFC 2827. Mejores prácticas comunes.
9. "Una guía de Cisco para defenderse contra ataques distribuidos de denegación de servicio". Cisco . Consultado el 26 de septiembre de 2019 .
10. Hendric, William (23 de marzo de 2016). "Ataque fragmentado".
11. Anónimo (2003). Máxima seguridad. Editorial Sams. ISBN 978-0-672-32459-8.

enlaces externos

• Lo último en ataques de denegación de servicio: "Smurfing" , Craig A. Huegen, 1997.