Иллюстрированный самоучитель по Secure Web
Атака Smurf позволяет воспользоваться преимуществами
Атака Smurf позволяет воспользоваться преимуществами рассылки широковещательных направленных запросов и требует как минимум трех участников: взломщика, усиливающей сети (amplifying network) и цели. Злоумышленник отправляет ложные ICMP-пакеты ECHO на широковещательный адрес усиливающей сети. Исходный адрес пакетов подменяется так, как будто бы сама жертва сгенерировала запрос. Затем начинается самое интересное. Как только пакет ECHO передается на широковещательный адрес, все системы усиливающей сети сгенерируют ответ на запрос узла-жертвы (если не запланированы какие-нибудь другие действия). Если взломщик отсылает один ICMP-пакет в усиливающую сеть, в которой содержится 100 узлов, генерирующих ответные сообщения на широковещательный запрос, то можно считать, что взломщик в сто раз увеличил эффективность атаки DoS. Отношение количества переданных пакетов к числу узлов, генерирующих ответные сообщения, мы называем коэффициентом усиления (amplification ratio). Таким образом, взломщик постарается найти усиливающую сеть с большим коэффициентом усиления, чтобы увеличить вероятность насыщения трафика целевой сети.
Для того чтобы лучше познакомиться с атакой такого рода, рассмотрим пример. Предположим, что взломщик отправил 14 К данных ICMP на широковещательный адрес усиливающей сети со ста узлами. Сеть взломщика подсоединена к Internet через двухканальное соединение ISDN; усиливающая сеть — через линию связи ТЗ (45 Мбит/с); а целевая сеть — через канал Т1 (1.544 Мбит/с). Нетрудно подсчитать, что в данном случае взломщику удастся сгенерировать 14 Мбит данных, которые будут отправлены в целевую сеть. Это практически не оставит ей шансов на выживание, поскольку вся доступная полоса пропускания линии связи Т1 будет быстро занята.
Один из вариантов описанного подхода называется атакой Fraggle ("осколочная граната"). При этом выполняются все те же действия, за исключением того, что вместо ICMP-пакетов используются дейтаграммы UDP. Взломщик может отправлять ложные пакеты UDP на широковещательный адрес усиливающей сети, обычно на порт 7 (echo). При этом каждый узел или сеть с активной службой echo сгенерируют для целевого узла ответное сообщение, тем самым значительно увеличивая количество передаваемых данных. Если на каком-либо из узлов усиливающей сети служба echo отключена, то будет сгенерировано ICMP-сообщение о недостижимости, что также приведет к насыщению полосы пропускания.
