حمله سایبری اسمورف چیست و چگونه می توان از آن جلوگیری کرد؟

وقتی صحبت از حملات سایبری به میان می‌آید، طیف گسترده‌ای از تاکتیک‌ها وجود دارد که هکرها از آنها برای ایجاد اختلال در شبکه‌ها و سرقت اطلاعات حساس استفاده می‌کنند. یکی از این روش ها به عنوان Smurf Attack بر اساس بدافزار smurf شناخته می شود که می تواند آسیب قابل توجهی به سیستم هدف وارد کند.

با وجود نام، Smurf Attack هیچ ارتباطی با موجودات آبی کوچک ندارد. همانطور که شخصیت های کارتونی دشمنان بزرگتر را بدون در نظر گرفتن اندازه آنها از بین می برند، این حمله از بسته های کوچکی برای از بین بردن کل سیستم ها استفاده می کند. در این مقاله نگاهی با این حمله سایبری بیشتر آشنا خواهیم شد.

حمله اسمورف چیست؟

Smurf Attack یک حمله انکار سرویس توزیع شده است که در لایه شبکه رخ می دهد و با ارسال و بارگذاری بیش از حد سرور قربانی با درخواست های اکو پروتکل کنترل پیام اینترنت (ICMP) متعدد حمله می کند. این درخواست های ICMP سرور را تحت الشعاع قرار می دهد و پردازش تمام ترافیک ورودی را برای آن غیرممکن می کند. هکرها با استفاده از بدافزاری به نام “DDOS.Smurf” یک حمله اسمورف را اجرا می کنند.

حمله انکار سرویس توزیع شده (DDoS) یک حمله سایبری است که در آن از چندین سیستم برای پر کردن ترافیک یک وب سایت یا شبکه مورد نظر استفاده می شود و باعث می شود آن را در دسترس کاربران قرار ندهند. در یک حمله DDoS، مهاجم معمولاً کنترل تعداد زیادی از رایانه ها را به دست می آورد و از آنها برای تولید حجم بالایی از بازدیدکنندگان به سمت هدف استفاده می کند. هدف اصلی یک حمله DDoS این است که هدف را با ترافیک زیادی تحت الشعاع قرار دهد که قادر به رسیدگی به درخواست های قانونی نباشد و دسترسی کاربران به وب سایت یا شبکه را دشوار یا غیرممکن کند.

تاریخچه حملات اسمورف

اولین حمله اسمورف ها در سال 1998 به دانشگاه مینه سوتا انجام شد. کد مورد استفاده برای انجام این حمله توسط یک هکر مشهور به نام Dan Moschuk نوشته شده است. این حمله بیش از یک ساعت به طول انجامید و شبکه منطقه‌ای مینه‌سوتا (ارائه‌دهنده خدمات اینترنتی دولتی) و در نتیجه سایر مشاغل بزرگ و کوچک و تقریباً تمام مشتریان MRNet را تحت تأثیر قرار داد.

درخواست ICMP Echo چیست؟

Smurf Attack به درخواست‌های خروجی ICMP (پروتکل پیام کنترل اینترنت) متکی است، اما این به چه معناست؟ درخواست ICMP نوعی پیام است که از یک دستگاه به دستگاه دیگر در شبکه ارسال می شود تا اتصال دستگاه گیرنده را آزمایش کند و مشخص کند که آیا قابل دسترسی و پاسخگو است یا خیر. به دلیل دستوری که معمولاً برای شروع آن استفاده می شود، به عنوان درخواست پینگ نیز شناخته می شود.

هنگامی که یک درخواست ICMP echo ارسال می شود، یک دستگاه بسته ای را به دستگاه دریافت کننده ارسال می کند که حاوی پیام درخواست ICMP echo است. اگر دستگاه دریافت کننده کار می کند، با ارسال یک پیام ICMP echo reply به دستگاه فرستنده، به درخواست پاسخ می دهد، به این معنی که قابل دسترسی و پاسخگو است.

درخواست‌ها و پاسخ‌های “ICMP echo” معمولاً توسط مدیران شبکه برای عیب‌یابی مشکلات اتصال شبکه و تشخیص مشکلات استفاده می‌شود. اما آنها همچنین می توانند توسط مهاجمان برای کاوش و اسکن شبکه ها برای دستگاه های آسیب پذیر یا برای راه اندازی حملات DoS مانند ping flood یا حملات Smurf استفاده شوند.

حمله اسمورف چگونه کار می کند؟

Smurf Attack از پکیج/اکو ICMP درخواست‌های پژواک متعدد برای ایجاد حمله انکار سرویس بر روی یک سیستم استفاده می‌کنند. حمله اسمورف ممکن است شبیه به پینگ سیل به نظر برسد، اما حتی خطرناک تر است. تفاوت بین حمله smurf و حمله ping flood در این است که اولی از تقویت برای افزایش حجم ترافیک هدایت شده به سمت قربانی استفاده می کند، در حالی که تشخیص منبع حمله را برای قربانی دشوارتر می کند.

در یک Smurf Attack، مجرم سایبری درخواست‌های ICMP echo متعددی را با آدرس IP منبع جعلی که با آدرس قربانی مطابقت دارد، به آدرس پخش یک شبکه ارسال می‌کند. آدرس پخش یک شبکه یک آدرس ویژه است که برای ارسال پیام به همه هاست های آن شبکه استفاده می شود. وقتی این درخواست‌ها پخش می‌شوند، همه میزبان‌های شبکه درخواست‌ها را دریافت می‌کنند و به نوبه خود با پاسخ‌های ICMP echo به آن‌ها پاسخ می‌دهند که سپس به آدرس IP قربانی بازگردانده می‌شوند.

از آنجایی که آدرس IP منبع درخواست‌های ICMP echo اصلی برای مطابقت با آدرس IP قربانی جعل شده است، تمام پاسخ‌های ICMP echo تولید شده توسط میزبان‌های شبکه به قربانی می‌رود. این باعث تقویت قابل توجهی می شود، جایی که میزان ترافیک هدایت شده به قربانی بسیار بیشتر از مقدار اصلی ارسال شده توسط مهاجم است. بنابراین، اگر مهاجم 100 درخواست ICMP echo به آدرس های پخش حاوی 100 میزبان ارسال کند، آدرس IP قربانی 10000 پاسخ ICMP echo دریافت می کند. این اثر تقویت، حملات اسمورف را به ویژه موثر و خطرناک می کند، زیرا می توانند شبکه یا سرور قربانی را با ترافیک نسبتاً کمی از سوی مهاجم تحت تأثیر قرار دهند.

چگونه از حمله اسمورف جلوگیری کنیم

برای جلوگیری و دفاع در برابر حملات اسمورف، مهم است که از استراتژی‌های مؤثر برای نظارت بر ترافیک شبکه خود استفاده کنید. انجام این کار به شما کمک می کند تا رفتارهای مخرب را قبل از شروع شناسایی کرده و آنها را کنترل کنید. برخی دیگر از اقدامات پیشگیرانه در برابر حملات اسمورف عبارتند از:

• غیرفعال کردن پخش IP-directed در همه روترهای شبکه. این مانع از استفاده مهاجمان برای تقویت حملات خود می شود.
• پیکربندی دستگاه های شبکه برای محدود یا غیرمجاز کردن ترافیک ICMP
• پیکربندی مجدد فایروال خود برای غیر مجاز کردن پینگ هایی که از شبکه شما منشاء نمی گیرند.
• استفاده از نرم افزارهای ضد بدافزار و تشخیص نفوذ.

اگر از یک وب سایت بازدید می کنید و به درستی بارگیری نمی شود، ممکن است به دلیل حمله DDoS از کار افتاده باشد. در واقع، ممکن است دلایل متعددی برای درست کار نکردن یک سایت وجود داشته باشد، بنابراین فقط صبور باشید.