Smurf attack

hungp

Whi-----
27/12/2014
49
72 bài viết
Smurf attack
Trong bài này mình sẽ giới thiệu qua về kiểu tấn công Smurf attack dựa vào giao thức ICMP.

Anh-whitehat-vn.png

Smurf attack

Trước hết ta phải khẳng định đây là một dạng tấn công DDoS, ta cùng xem mô hình của kiểu tấn công này.

1.jpg

Trong tấn công Smurt attack gồm 3 thành phần:
  • Attacker: Thực hiện ra lệnh tấn công.
  • Mạng khuếch đại: Nghe lệnh của attacker.
  • Victim: Nạn nhân bị tấn công.

Cách thức hoạt động

Attacker gửi gói tin ICMP echo request với địa chỉ đích là địa chỉ broadcast (của một mạng khuếch đại) và địa chỉ nguồn là địa chỉ của Victim. Theo đó thì tất cả các máy nằm trong mạng khuếch đại sẽ đồng loạt trả lời về địa chỉ nguồn (Victim) bằng gói tin ICMP echo reply với đích là máy Victim.

Kết quả là máy tính này sẽ không thể xử lý kịp thời một lượng lớn thông tin và dẫn tới bị treo máy. Như vậy chỉ cần một lượng nhỏ các gói tin ICMP đi đến mạng khuếch đại sẽ khuếch đại lượng gói tin lên gấp bội. Tỷ lệ khuếch đại phụ thuộc vào số máy tính trong mạng khuếch đại. Vì thế hacker chiếm được càng nhiều hệ thống mạng hoặc router cho phép chuyển trực tiếp các gói tin đến địa chỉ broadcast không qua chỗ lọc địa chỉ nguồn ở các đầu ra của gói tin thì cuộc tấn công càng dễ dàng hơn.

Thử nghiệm tấn công

Mô hình

Ở đây trong mạng lan mình sẽ có 5 máy. Trong đấy có 1 máy dùng để tấn công có ip là 10.2.32.102 chạy Kali-Linux và máy nạn nhân có ip 10.2.32.163. Mình sẽ sử dụng công cụ smuft6 được cài trên máy 10.2.32.102 để mô phỏng tấn công.

Kết quả

Ta thấy trong vòng 15s thì máy nạn nhân đã nhận được là 124148 gói tin ICMP echo request. Gói tin có dạng như hình dưới:

2.png

CPU của mình đã tăng từ 30% đến tới 70%, băng thông cũng tăng từ 10% tới lên tới 50% cũng cùng với thời gian trên.
Sau kết quả này ta nhận thấy đây kiểu tấn công nguy hiểm và dễ thực hiện. Nếu số lượng máy không dùng lại ở 4 máy mà là 100 máy trong mạng lan thì số lượng gói tin gửi tới nạn nhân tăng lên rất nhiều lần.

Cách khắc phục

Kiểu DDoS dạng này đã có cách khắc phục đối với router Cisco. Đây là cách khắc phục đối với router

Dùng lệnh: (config)#autosecure hoặc (config)#no ip-directed broadcast

Mọi người thể tham khảo thêm tại:

Và đây là hướng dẫn dùng tool smuft6:


Lưa ý bài viết chỉ với mục đích để mọi người tham khảo và tiến hành test hệ thống, không phục vụ mục đích xấu.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Re: Smurf attack

Cho hỏi Router của những hãng nào mà có câu lệnh cấu hình như trên vậy bạn?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Smurf attack

nktung;26013 đã viết:
Cho hỏi Router của những hãng nào mà có câu lệnh cấu hình như trên vậy bạn?
Áp dụng đối với router của Cisco bạn nhé
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Smurf attack

Vậy nếu doanh nghiệp không sử dụng Router Cisco hoặc không có Router (chỉ có switch, wifi, MODEM...) thì làm sao để ngăn chặn
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Smurf attack

Theo mình biết, trên thiết bị của Cisco, câu lệnh no ip-directed broadcast thực hiện ở mức interface, như sau: (config-if)# no ip-directed broadcast.
Nếu các bạn có tài khoản trên www.cisco.com thì kiểm tra lệnh bằng công cụ Command Lookup Tool (kết quả như ở dưới) nhé !
ip-directed-broadcast.jpg
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
icmp smurf attack
Bên trên