Эффективность амплификационной атаки

2 минуты на чтение

Эффективность амплификационной атакиЭффективность амплификационной атаки зависит от сетей, которые выбраны злоумышленником в качестве «усилителей». Сети-усилители позволяют хакеру во много раз увеличить пропускную способность собственных ресурсов. Для примера рассмотрим разновидности Smurf и Fraggle. Smurf-атака пользуется ошибкой неверно сконфигурированных сетей и осуществляется посредством ICMP-протокола (Internet Control Message Protocol). Администраторы знают, что IP-протокол ненадежен по своей сути и нуждается в дополнительной надстройке, которая позволяет передавать статусную информацию и сообщения об ошибках. Именно такой надстройкой является ICMP. Всем известная команда ping использует ICMP-протокол для проверки соединения с удаленным узлом. Если узел находится на соединении, и на машине загружен стек TCP/IP, то в ответ на ping-запрос будет отослано соответствующее «эхо», опять же по ICMP-протоколу.

Такой тип атаки заключается в замене адреса отправителя ICMP-запроса адресом узла-жертвы, тогда как адресом получателя выступает широковещательный IP-адрес сети-усилителя. Если маршрутизатор этой сети воспринимает запросы по широковещательному адресу, то все машины, находящиеся за маршрутизатором, отошлют ICMP-эхо по адресу отправителя, указанного в запросе. Напомним, что адрес реального отправителя, которым является взломщик, был заменен на адрес узла-жертвы. Обратимся к сценарию, в котором в качестве усилителя выступает сеть из пятидесяти машин с адресами из промежутка 192.0.1.1-192.0.1.254 (маска сети 255.255.255.0). Допустим, что все машины из этой сети вынуждены ответить на широковещательный ICMP-запрос, который можно отправить, используя следующую команду: Единственная команда приведет к тому, что клиентская машина получит пятьдесят ICMP-ответов. Другими словами, первоначальное сообщение усиливается в 50 раз! Что это означает в контексте Smurf-нападения? Каждый компьютер неправильно сконфигурированной сети вынужден послать ICMP-ответ на узел-жертву, чей адрес указан в полученном запросе. Итак, если широковещательный адрес покрывает 200 компьютеров, то атакуемый узел получит сообщение хакера, усиленное в 200 раз (рис. 2.2). Заметьте, в нашем простом примере взломщик использует всего один усилитель, тогда как на практике можно воспользоваться несколькими такими сетями, что кроме всего прочего сильно затруднит фильтрацию приходящих на атакуемую машину ICMP-ответов.

Facebook Vk Ok Twitter Telegram

Похожие записи:

Атаки с использованием сценария «дезинформация» позволяют взломщику предоставить команде защитников ложные данные, вводящие в заблуждение. Такие атаки ставят целью скомпрометировать целостность системы, причем именно Целостность информации о системе. Даже, есл...
Инфраструктура DDoS-атаки может показаться на первый взгляд запутанной (см. рис. 2.3), и подобрать нужную терминологию, описывающую процесс, достаточно тяжело. Надеюсь, что названия, которыми мы будем оперировать, все же раскроют в должной мере саму структуру ...
Эффективность IDS прежде всего зависит от местоположения ее Сенсоров (датчиков). Обычно они размещаются за экраном в DMZ или на особо чувствительных к атаке сегментах защищенной сети (см. рис. 5.5). Датчик, расположенный за экраном, контролирует этот экран, ул...