A Atac de barrufets és un tipus d'atac de denegació de servei (DOS) on un atacant explota paquets de protocol de missatges de control d'Internet (ICMP). L’atac apareix quan un atacant envia una riuada massiva de paquets echo_request ICMP falsificats a la víctima objectiu.
En aquest article es coneixerà com s’executa un atac de Pitufos i quant de dany pot causar a la xarxa un atac de Pitufos. L’article també descriurà les mesures preventives contra un atac de barrufets.
Antecedents
El món en línia va veure el desenvolupament del primer atac de Barrufets durant la dècada de 1990. El 1998, per exemple, la Universitat de Minnesota va experimentar un atac de Barrufet, que va durar més de 60 minuts, provocant el tancament d'alguns dels seus ordinadors i un bloqueig general del servei de xarxa.
L'atac va provocar un bloqueig cibernètic que també va influir en la resta de Minnesota, inclòs el Xarxa regional de Minnesota (MRNet) . Posteriorment, Els clients de MRNet , que incloïa empreses privades, 500 organitzacions i col·legis, també van ser influenciats.
Atac de barrufets
Un gran nombre de paquets ICMP falsificats estan vinculats a l’adreça IP de la víctima, ja que un atacant crea l’IP font amb la intenció de transmetre’ls a la xarxa de l’usuari objectiu mitjançant una adreça de difusió IP.
La intensitat amb què l'atac de Barrufets pertorba el trànsit genuí d'una xarxa correspon a la quantitat d'amfitrions al centre de l'organització del servidor de xarxa. Per exemple, una xarxa de difusió IP amb 500 hosts crearà 500 reaccions per a cada petició falsa de Eco. El resultat previst és disminuir el sistema objectiu fent-lo inoperable i inaccessible.
El Smurf DDoS Attack va rebre el seu nom conegut d’una eina d’explotació anomenada Barrufet; ampliament utilitzat als anys noranta. Els petits paquets ICMP produïts per l'eina van causar un gran balanç per a una víctima, cosa que va provocar la formació del nom de Barrufet.
Tipus d’atacs de barrufets
Atac bàsic
Un atac bàsic de Barrufet es produeix quan l’organització d’una víctima s’acaba entre un ICMP i sol·licita paquets. Els paquets es dispersen i tots els dispositius que enllacen amb la xarxa de destinació de l'organització respondrien als paquets ICMP echo_request, provocant una gran quantitat de trànsit i potencialment tallant la xarxa.
Atac avançat
Aquest tipus d’atacs tenen la mateixa metodologia bàsica que els atacs principals. El que difereix en aquest cas és que la sol·licitud d’eco configura les seves fonts per reaccionar davant d’una tercera víctima.
La tercera víctima rebrà la sol·licitud de ressò que ha començat des de la subxarxa de destinació. Per tant, els pirates informàtics accedeixen als marcs associats amb el seu objectiu únic, cosa que dificulta un subconjunt més gran del web del que podria haver estat concebible, en cas que restringissin la seva extensió a una sola víctima.
Treball
Tot i que els paquets ICMP es poden utilitzar en un atac DDoS, normalment serveixen llocs importants en l'organització de la xarxa. Normalment, els gestors de xarxes o emissions fan servir l'aplicació ping, que utilitza paquets ICMP per avaluar els dispositius de maquinari reunits com PC, impressores, etc.
Sovint s’utilitza un ping per provar el funcionament i l’eficiència d’un dispositiu. S'estima el temps que triga un missatge a anar al dispositiu de destinació des de l'origen i tornar al dispositiu d'origen. Com que la convenció ICMP exclou els encaixos de mans, els dispositius que reben sol·licituds no poden confirmar si les sol·licituds rebudes provenen d'una font legítima o no.
Metafòricament, imagineu-vos una màquina de portar pes amb un límit de pes fixat; si vol transportar més de la seva capacitat, segurament deixarà de funcionar amb normalitat o completament.
En un escenari general, l'amfitrió A envia una invitació ICMP Echo (ping) a l'amfitrió B, activant una reacció programada. El temps que es necessita perquè una reacció es reveli s'utilitza com a part de la llunyania virtual enmig de tots dos amfitrions.
Dins d'una organització de transmissió IP, s'envia una sol·licitud de ping a tots els amfitrions de la xarxa, cosa que estimula la reacció de tots els sistemes. Amb atacs Barrufet, les entitats malicioses exploten aquesta capacitat per intensificar el trànsit al servidor de destinació.
- El programari maliciós Barrufets fabrica un paquet falsificat que té la seva adreça IP d'origen configurada a l'adreça IP original de la víctima.
- A continuació, el paquet s’envia a una adreça de difusió IP d’un servidor de xarxa o tallafoc, que envia un missatge de sol·licitud a cada adreça d’amfitrió de l’organització del servidor de xarxa, ampliant el nombre de sol·licituds per la quantitat de dispositius organitzats a l’organització.
- Tots els dispositius enllaçats de l’organització reben el missatge sol·licitat del servidor de xarxa i, posteriorment, tornen a la IP falsa de la víctima mitjançant un paquet ICMP Echo Reply.
- En aquell instant, la víctima experimenta una riuada de paquets ICMP Echo Reply, potser desbordats i restringint l'accés del trànsit legítim a la xarxa.
Efectes d'atac de barrufets
L’impacte més evident causat per un atac de Barrufet és enderrocar el servidor d’una corporació. Fa un embús de trànsit a Internet i fa que el sistema de la víctima sigui incapaç de produir resultats. Es pot centrar en un usuari o es pot emplenar com a tapa d’un atac més nociu, com ara robar informació personal i privada.
Tenint en compte tot això, els impactes d'un atac de Barrufet en una associació inclouen:
- Pèrdua de finances : Atès que tota l'organització es redueix o es tanca, l'activitat d'una organització s'atura.
- Pèrdua d’informació : Com es fa referència, un atac de barrufets també pot implicar que els atacants prenen la vostra informació. Els permet exfiltrar informació mentre esteu absorts de gestionar l'assalt DoS.
- Dany a la talla : Un incompliment de la informació és car, tant pel que fa a diners com per alçada. Els clients poden perdre la confiança en la vostra associació, ja que les dades confidencials que confien perden la seva confidencialitat i integritat.
Prevenció d'atacs de barrufets
Per evitar atacs de Barrufets, es pot utilitzar el filtratge de trànsit entrant per analitzar tots els paquets que es mouen entrant. Se'ls denegarà o se'ls permetrà l'entrada al marc en funció de l'autenticitat de la capçalera del paquet.
El tallafoc també es pot configurar per bloquejar els pings formatats des d’una xarxa fora de la xarxa del servidor.
Conclusió
Un atac Barrufet és un atac de consum de recursos que busca inundar l'objectiu amb un gran nombre de paquets ICMP falsificats. Amb la intenció malintencionada d’utilitzar tot l’amplada de banda disponible. Com a resultat, no queda cap amplada de banda per als usuaris disponibles.