Un ataque Smurf es un ataque distribuido de denegación de servicio en el que una gran cantidad de paquetes del Protocolo de mensajes de control de Internet (ICMP) con la IP de origen falsificada de la víctima se transmiten a una red informática utilizando una dirección de transmisión IP . [1] La mayoría de los dispositivos en una red, de forma predeterminada, responderán a esto enviando una respuesta a la dirección IP de origen. Si la cantidad de máquinas en la red que reciben y responden a estos paquetes es muy grande, la computadora de la víctima se verá inundada de tráfico. Esto puede ralentizar el ordenador de la víctima hasta el punto de que resulte imposible trabajar con él.
La herramienta original para crear un ataque Smurf fue escrita por Dan Moschuk (alias TFreak) en 1997. [2] [3]
A finales de la década de 1990, muchas redes IP participaban en ataques Smurf si se les solicitaba (es decir, respondían a solicitudes ICMP enviadas a direcciones de transmisión). El nombre proviene de la idea de que atacantes muy pequeños, pero numerosos, abruman a un oponente mucho más grande (ver Los Pitufos ). Hoy en día, los administradores pueden hacer que una red sea inmune a tales abusos; por lo tanto, muy pocas redes siguen siendo vulnerables a los ataques de los Pitufos. [4]
Un amplificador Pitufo es una red informática que se presta para ser utilizada en un ataque Pitufo. Los amplificadores Smurf actúan para empeorar la gravedad de un ataque Smurf porque están configurados de tal manera que generan una gran cantidad de respuestas ICMP a la víctima en la dirección IP de origen falsificada.
En DDoS, la amplificación es el grado de mejora del ancho de banda que sufre un tráfico de ataque original (con la ayuda de amplificadores Smurf) durante su transmisión hacia la computadora víctima. Un factor de amplificación de 100, por ejemplo, significa que un atacante podría crear 100 Mb/s de tráfico utilizando sólo 1 Mb/s de su propio ancho de banda. [5]
Bajo el supuesto de que no se toman contramedidas para amortiguar el efecto de un ataque Smurf, esto es lo que sucede en la red objetivo con n hosts activos (que responderán a las solicitudes de eco ICMP). Los paquetes de solicitud de eco ICMP tienen una dirección de origen falsificada (el objetivo de los Pitufos) y una dirección de destino (el chivo expiatorio; la fuente aparente del ataque). Ambas direcciones pueden adoptar dos formas: unidifusión y difusión .
La forma de unidifusión dual es comparable con un ping normal: se envía una solicitud de eco ICMP al chivo expiatorio (un único host), que envía una única respuesta de eco ICMP (un pitufo) al objetivo (el único host en la dirección de origen). . Este tipo de ataque tiene un factor de amplificación de 1, lo que significa: solo un pitufo por ping.
Cuando el objetivo es una dirección de unidifusión y el destino es la dirección de transmisión de la red del objetivo, todos los hosts de la red recibirán una solicitud de eco. A cambio, cada uno de ellos responderá al objetivo, por lo que el objetivo se verá inundado de n Pitufos. Factor de amplificación = n . Si n es pequeño, un anfitrión puede verse obstaculizado pero no paralizado. Si n es grande, un host puede detenerse.
Si el objetivo es la dirección de transmisión y el chivo expiatorio una dirección de unidifusión, cada host de la red recibirá un solo Smurf por ping, por lo que un factor de amplificación de 1 por host, pero un factor de n para la red. Generalmente, una red podría hacer frente a esta forma de ataque, si n no es demasiado grande.
Cuando tanto la dirección de origen como la de destino en el paquete original se configuran en la dirección de transmisión de la red de destino, las cosas empiezan a salirse de control rápidamente. Todos los hosts reciben una solicitud de eco, pero todas las respuestas se transmiten nuevamente a todos los hosts. Cada host recibirá un ping inicial, transmitirá la respuesta y obtendrá una respuesta de todos los n-1 hosts. Un factor de amplificación de n para un solo host, pero un factor de amplificación de n 2 para la red.
Las solicitudes de eco ICMP normalmente se envían una vez por segundo. La respuesta deberá contener el contenido de la solicitud; unos pocos bytes, normalmente. Un único ping (difusión doble) a una red con 100 hosts hace que la red procese 10 000 paquetes. Si la carga útil del ping aumenta a 15 000 bytes (o 10 paquetes completos en Ethernet ), ese ping hará que la red tenga que procesar 100 000 paquetes grandes por segundo. Envíe más paquetes por segundo y cualquier red colapsaría bajo la carga. Esto hará que cualquier host de la red sea inalcanzable mientras dure el ataque.
Un ataque pitufo puede saturar servidores y redes. El ancho de banda de la red de comunicación puede agotarse y provocar que la red de comunicación se paralice. [6]
La solución es doble:
También es importante que los ISP implementen el filtrado de entrada , que rechaza los paquetes atacantes basándose en la dirección de origen falsificada. [8]
Un ejemplo de configuración de un enrutador para que no reenvíe paquetes a direcciones de transmisión, para un enrutador Cisco , es:
Router(config-if)# no ip directed-broadcast
[9](Este ejemplo no protege a una red para que no se convierta en el objetivo de un ataque de los Pitufos; simplemente evita que la red participe en un ataque de los Pitufos).
Un ataque Fraggle (llamado así por las criaturas de la serie de televisión de marionetas Fraggle Rock ) es una variación de un ataque Smurf donde un atacante envía una gran cantidad de tráfico UDP a los puertos 7 ( Echo ) y 19 ( CHARGEN ). Funciona de manera similar al ataque Smurf en el sentido de que muchas computadoras en la red responderán a este tráfico enviándolo de regreso a la IP de origen falsificada de la víctima, inundándola con tráfico. [10]
Fraggle.c
TFreak también publicó el código fuente del ataque. [11]
{{cite book}}
: |website=
ignorado ( ayuda )