In questo articolo Panda Security esamina un attacco Smurf, spiegandone la tipologia, come funziona, le conseguenze e molto altro ancora e suggerendo una serie di consigli utili per proteggersi da questo tipo di attacco informatico.

«Un attacco Smurf è un attacco DDoS (Distributed Denial of Service) in cui un utente malintenzionato inonda il server di una vittima con pacchetti IP (Internet Protocol) e ICMP (Internet Control Message Protocol) contraffatti. Di conseguenza, il sistema del bersaglio viene reso inutilizzabile. Questo tipo di attacco prende il nome da uno strumento malware DDoS.Smurf ampiamente utilizzato negli anni ’90. Il piccolo pacchetto ICMP generato dallo strumento malware può causare danni significativi al sistema della vittima, da cui il nome Smurf.

Come funziona un attacco Smurf?

Gli attacchi Smurf sono simili a una forma di attacchi denial-of-service (DoS) chiamati ping floods, poiché vengono eseguiti inondando il computer di una vittima con richieste Echo ICMP. Gli step in un attacco Smurf sono i seguenti:

  1. L’attaccante individua l’indirizzo IP del bersaglio: un utente malintenzionato identifica l’indirizzo IP della vittima bersaglio.
  2. L’attaccante crea pacchetti di dati contraffatti: il malware Smurf viene utilizzato per creare un pacchetto di dati contraffatto o richieste di Echo ICMP, il cui indirizzo di origine è impostato sull’indirizzo IP reale della vittima.
  3. L’ attaccante invia le richieste di eco ICMP: l’attaccante distribuisce le richieste di eco ICMP alla rete della vittima, facendo sì che tutti i dispositivi connessi all’interno della rete rispondano al ping tramite i pacchetti di risposta Echo ICMP.
  4. La vittima è inondata di risposte ICMP: la vittima riceve quindi un’ondata di pacchetti ICMP Echo Reply, con conseguente negazione del servizio al traffico legittimo.
  5. Il server della vittima viene sovraccaricato: con un numero sufficiente di pacchetti di risposta ICMP inoltrati, il server della vittima viene sovraccaricato e potenzialmente reso inutilizzabile.

Amplificatori d’attacco Smurf

Un altro componente degli attacchi Smurf che aumenta il loro potenziale di danno è l’uso degli Smurf amplificatori. Il fattore di amplificazione è correlato al numero di host sulla rete di trasmissione IP della vittima.

Ad esempio, una rete di trasmissione IP con 300 host produrrà 300 risposte per ogni falsa richiesta Echo ICMP. Ciò consente a un utente malintenzionato con una larghezza di banda ridotta di disabilitare correttamente il sistema di una vittima, anche se tale sistema ha una larghezza di banda molto più elevata. Gli amplificatori possono essere implementati purché l’attaccante mantenga una connessione e gli amplificatori trasmettano il traffico ICMP.

Esempio di attacco Smurf

Per mettere questo tipo di attacco in termini più semplici, è utile immaginare un esempio metaforico di attacco Smurf. Pensa a un imbroglione (il malware DDoS.Smurf) che chiama un ufficio (la rete di trasmissione IP) mentre si maschera da CEO dell’azienda.

Nel nostro esempio, l’imbroglione chiede a un manager di dire a ogni dipendente di restituire la sua chiamata (le richieste Echo dell’ICMP) sul suo numero privato per fornire un aggiornamento sullo stato del progetto, ma il numero privato (l’indirizzo IP falsificato) appartiene effettivamente al bersaglio dell’imbroglione. Di conseguenza, la vittima riceve un assalto di telefonate indesiderate (l’ICMP Echo Replies) da ogni dipendente dell’ufficio.

Tipi di attacchi Smurf

Gli attacchi Smurf sono generalmente classificati come di base o avanzati. L’unica differenza nel tipo di attacco è il grado dell’attacco che ha luogo.

  • Di base: l’attaccante inonda la rete di una singola vittima con i pacchetti di richiesta Echo ICMP.
  • Avanzato: l’attacco è identico a un attacco di base, tranne per il fatto che i pacchetti di richiesta Echo sono configurati per consentire loro di rispondere a ulteriori vittime di terze parti, consentendo all’attaccante di prendere di mira più vittime contemporaneamente.

Qual è la differenza tra un attacco Smurf e un attacco DDoS?

Un attacco DDoS mira a impedire alle vittime di accedere alla propria rete inondandola di false richieste di informazioni. Un attacco Smurf è una forma di attacco DDoS che rende inutilizzabile la rete di una vittima in modo simile, ma la differenza è che lo fa sfruttando le vulnerabilità IP e ICMP. Sfruttare queste vulnerabilità è ciò che distingue un attacco Smurf, aumentando a sua volta il potenziale di danno.

Qual è la differenza tra un attacco Smurf e un attacco Fraggle?

Sia un attacco Fraggle che un attacco Smurf sono forme di attacco DDoS che mirano a inondare il sistema di una vittima con false richieste di informazioni. La differenza è che mentre un attacco Smurf utilizza pacchetti ICMP contraffatti, un attacco Fraggle utilizza traffico UDP (User Datagram Protocol) contraffatto per raggiungere lo stesso obiettivo. Tutto il resto di questi attacchi è lo stesso.

Conseguenze di un attacco Smurf

Sebbene l’obiettivo di un attacco Smurf sia rendere inutilizzabile il sistema di una vittima per giorni o addirittura ore, può anche essere il primo passo verso attacchi più dannosi come il furto di dati o il furto di identità. In ogni caso, le conseguenze di un attacco dei Puffi rimangono:

  • Perdita di entrate: un server aziendale inutilizzabile per ore o giorni di seguito spesso significa un’interruzione delle operazioni aziendali, con conseguente perdita di entrate e clienti frustrati.
  • Furto di dati: gli aggressori possono ottenere l’accesso non autorizzato ai dati sul server host della vittima durante un attacco.
  • Danno alla reputazione: se i dati riservati dei tuoi clienti vengono divulgati dopo un attacco, può portare a una violazione permanente della loro fiducia e lealtà nei confronti della tua organizzazione.

Metodi di mitigazione e come proteggersi

La mitigazione di un attacco Smurf si riduce alla protezione della rete, che inizia con il router. Per proteggerti, dovrai configurare il modo in cui i tuoi router e dispositivi interagiscono con i pacchetti ICMP. Ciò comporta due importanti fasi di prevenzione:

  • Disabilita la trasmissione IP su tutti i router di rete.
  • Configura i tuoi dispositivi di rete in modo che non rispondano alle richieste di Echo ICMP.

Se il tuo attuale router è un modello precedente, è consigliabile investire in uno nuovo, poiché i modelli più recenti di solito vengono forniti con le configurazioni precedenti già in atto per impostazione predefinita.

Oltre a questi passaggi, investire in una soluzione antivirus e antimalware per proteggere i firewall aggiunge un ulteriore livello di protezione alla rete.

Come per la maggior parte degli attacchi informatici, la prevenzione è spesso la migliore strategia di protezione. Sebbene gli attacchi Smurf non siano una novità, rimangono una tattica comune tra i criminali informatici che cercano di sfruttare le reti vulnerabili. Per proteggerti ulteriormente dagli attacchi informatici in tutte le loro forme, prendi in considerazione l’installazione di un software antivirus affidabile per proteggere tutti i tuoi dispositivi».

 

https://www.pandasecurity.com/en/mediacenter/malware/smurf-attack/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE