Как да защитите вашата организация от смърфинг атаки от хакери

Да се ​​каже, че киберсигурността засяга много организации днес, би било подценяване, като се има предвид широкият спектър от атаки в космоса. Киберсигурността е решаваща грижа, която, ако не бъде проверена, може да унищожи вашия бизнес.

Кибератака се случва, когато заплаха със злонамерени намерения използва уязвимости във вашата система. Атаките често целят кражба, промяна, дезактивиране, унищожаване или достъп до неразрешени активи. Днес почти всички съвременни компании работят с мрежи от компютри, които улесняват работата. Докато ползите са очевидни с екипите, които мащабират производството, има свързан риск за сигурността.

Тази публикация е подробна разбивка на смърфинг атаки в областта на киберсигурността, атаки, насочени към отказ на достъп на потребителите до сървъри, особено чрез използване на обем. Нападателите използват огромно количество заявки, правейки определена мрежа безполезна. Нека се потопим.

Кратък преглед на DoS атаките

И точно преди да научите всичко за смърф атаките, трябва да разберете концепцията за отказ на услуга (DoS) и разпределен отказ на услуга (DDoS).

DDoS или DoS атаките са насочени да направят ресурсите на вашата мрежа недостъпни за законни потребители. Това проникване се извършва чрез атака на вашата мрежа от множество точки в нея. DoS атаките имат няколко класификации, както са изброени по-долу:

Flood атаки – При този тип атака големи обеми данни се изпращат до вашите системи чрез множество компрометирани устройства, наречени зомбита или ботове. Flood атаките включват HyperText Transfer Protocol (HTTP), User Datagram Protocol (UDP), Internet Control Message Protocol (ICMP) или Session Initiation Protocol (SIP).

Атаки с усилване – При тази атака ботовете изпращат съобщения до избран излъчван IP адрес. Основната логика е, че всички системи в подмрежата, докоснати от разкрития адрес, изпращат отговор до вашата система. Най-често срещаните типове атаки за усилване на DoS са fraggle и smurf.

Атаки на Coremelt – По този повод хакерът разделя ботовете на две групи. Хакерът командва ботовете да комуникират с друга група и по този начин води до изпращане и получаване на огромно количество данни. Ако комуникацията е успешна, проследяването на тази атака чрез легитимни пакети е трудно. Това, което се случва, е, че нападателят се насочва към хоста и зомбитата комуникират, за да създадат наводнение в мрежата. Големите пакети се насочват към същия IP адрес, дестинация и номер на порт, смазвайки системата.

TCP SYN атаки – При този тип атака хакерите използват уязвимости в сигурността на протокола за контрол на предаването (TCP), като изпращат много SYN заявки към сървъра. Например, сървърът може да отговори на заявка, като изпрати SYN и пакети за потвърждение (ACK) и изчака ACK от клиента. Ако атакуващият не изпрати ACK пакета, сървърът все още чака несъществуващ ack. Тъй като опашката на буфера е ограничена, сървърът се претоварва и всички други входящи валидни заявки се отхвърлят.

Атаки срещу сървър за удостоверяване – При този тип атака сървърите за удостоверяване проверяват за фалшивия подпис на атакуващия и консумират повече ресурси, отколкото трябва за генериране на подписите.

Атаки с CGI заявка – Нападателят изпраща големи заявки за общ интерфейс на шлюза (CGI), като използва циклите и ресурсите на вашия процесор.

Какво представляват смърфовите атаки?

Всички смърф атаки се основават на потапяне на вашия компютър до степен на неработоспособност.

Смърф атаката е DDoS атака, която затрупва вашата мрежа с голям обем заявки. Смърф атаката изпраща поток от заявки на Internet Control Message Protocol (ICPM) към вашата целева мрежа, използвайки IP уязвимостите, като постепенно я забавя и в крайна сметка изключва всички устройства, работещи в мрежата.

При успешна смърф атака срещу вашия бизнес, вашата организация може да загуби значителни приходи. В други случаи въздействието може да се види в затваряне на определени услуги, прекъсване на посетителите на вашия уебсайт или отклоняване на трафик към конкурентни сайтове. В най-лошите случаи смърф атаките могат да прикрият по-сериозни заплахи като кражба на данни и интелектуална собственост.

Наименованието на атаката Smurf произлиза от инструмент за експлоатация, наречен smurf през 90-те години. Инструментът създава малки ICPM пакети, които неочаквано поразяват големи цели – точно като в популярния анимационен филм „Смърфовете“.

Видове смърф атаки

Има два варианта на смърф атаки, класифицирани според сложността на изпълнението им, основни и разширени.

#1. Основен

В този случай атаката удря целевата мрежа с неограничени ICMP ехо заявки. След това заявките се насочват към всички устройства, свързани към този мрежов сървър, което подканва отговорите. Следователно обемът на отговора е висок, за да отговаря на всички входящи заявки и по този начин претоварва сървъра.

#2. Разширено

Усъвършенстваните смърф атаки надграждат основните чрез конфигуриране на източници и по този начин отговарят на жертви от трети страни. Тук хакерът разширява своя вектор на атака, насочвайки се към по-големи групи жертви и по-мащабни мрежи.

Как действат смърфовите атаки

Smurf атаките се случват подобно на ping атаките, които са извън обхвата на тази статия, като се имат предвид техните техники за изпълнение. Основната разлика обаче се забелязва в целевата функция на експлойта.

Обикновено при smurf атаки хакерът изпраща ICPM ехо заявки, базирайки се на автоматизираните отговори на сървъра. Изпълнението се извършва при по-голяма честотна лента от предварително определеното покритие на обхвата на целевата област. Ето техническа разбивка на стъпките за смърф атака, за да ви помогне да разберете как работят:

Първата стъпка е генериране на фалшиви заявки за ехо с фалшиви IP адреси на източник чрез smurf malware. Фалшивият IP е адресът на целевия сървър. Заявките за ехо са разработени от източници, проектирани от нападатели, фалшиви под прикритието на легитимност.

Втората стъпка включва изпращане на заявки с помощта на междинна IP мрежа за излъчване.

Третата стъпка включва предаване на заявки до всички мрежови хостове.

Тук хостовете изпращат ICMP отговори на целевия адрес.

Сървърът се сваля на последния етап, ако има достатъчно входящи ICMP отговори.

След това ще разберем разликата между Smurf и DDoS атаки.

Smurf срещу DDoS атаки

Както видяхте, smurf атаките включват наводняване на мрежа с ICMP пакети. Моделът на атаката може да се сравни с това как група може да вдигне много шум, като крещи в унисон. Ако сте запалени, припомнете си, че smurf атаките са подразделение в категорията DDoS атаки. От друга страна, разпределеният отказ на услуги (DDoS) са мрежови атаки, които включват наводняване на целева мрежа с трафик от различни източници.

Основната разлика е, че смърф атаките се изпълняват чрез изпращане на много ICMP ехо заявки до адреса за излъчване на мрежа, докато DDoS атаките се изпълняват чрез претоварване на мрежата с трафик, обикновено използвайки ботнет мрежи.

Smurf срещу Fraggle Attacks

Fraggle атаките са вариант на смърф атаките. Докато smurf атаките включват ICMP ехо заявки, Fraggle атаките изпращат потребителски дейтаграмен протокол (UDP) заявки.

Въпреки уникалните си методи за атака, те се насочват към IP уязвимости, като постигат подобни резултати. И за да ви просвети, можете да използвате същите техники за превенция, обсъдени по-късно в публикацията, за да предотвратите двойното.

Последици от атаки на смърфове

#1. Загуба на приходи

Докато мрежата е забавена или изключена, значителна част от операциите на вашата организация се прекъсват за известно време. А когато услугите не са налични, приходите, които биха могли да бъдат генерирани, се губят.

#2. Загуба на данни

Няма да се изненадате, ако хакерът открадне информация, докато вие и вашият екип управлявате DoS атаката.

#3. Увреждане на репутацията

Спомняте ли си ядосаните клиенти, разчитащи на вашите услуги? Те биха могли да спрат да използват вашия продукт при събития като разкриването на чувствителни данни.

Как да се предпазите от атаки на смърфове

По отношение на защитата срещу смърф атаки, ние сме групирали мерките в няколко раздела; идентифициращи признаци, най-добри практики за превенция, критерии за откриване и решения за смекчаване на атаки. Прочетете.

Признаците за атаки на смърфове

Понякога вашият компютър може да има смърф злонамерен софтуер, който остава неактивен, докато хакерът не го активира. Това естество е сред ограничаващите фактори, които правят откриването на смърф атаки предизвикателство. Независимо дали сте собственик на уебсайт или посетител, най-забележимият признак за смърф атака, който ще срещнете, е бавната реакция на сървъра или неработоспособност.

Най-добре е обаче да се отбележи, че мрежата може да се изключи по много причини. Така че не трябва просто да правите заключения. Разровете се дълбоко във вашата мрежа, за да откриете злонамерената дейност, с която се занимавате. Ако подозирате, че вашите компютри и техните мрежи са заразени със злонамерен софтуер, вижте най-добрата безплатна антивирусна програма за защита на вашия компютър.

Как да предотвратим атаки на смърфове

Въпреки че смърф атаките са стари техники, те са ефективни. Те обаче са трудни за откриване, което изисква стратегии за защита срещу тях. Ето някои практики, които можете да приложите, за да отклоните атаките на смърфовете.

Деактивиране на IP излъчване – Smurf атаките силно разчитат на тази функция, за да разширят зоната на атака, тъй като тя изпраща пакети данни до всички устройства в определена мрежа.

Конфигуриране на хостове и рутери – Както споменахме по-рано, smurf атаките въоръжават ICMP ехо заявките. Най-добрата практика е да конфигурирате вашите хостове и рутери да игнорират тези заявки.

Разширете честотната си лента – най-добре би било да имате достатъчно честотна лента, за да се справите с всички пикове на трафика, дори когато започне злонамерена дейност.

Изграждане на излишък – Уверете се, че разпръсквате сървърите си в много центрове за данни, за да имате отлична система за балансиране на натоварването за разпределение на трафика. Ако е възможно, накарайте центровете за данни да обхващат различни региони на една и съща държава. Можете дори да ги свържете в други мрежи.

Защитете своите DNS сървъри – Можете да мигрирате вашите сървъри към облачно базирани DNS доставчици – по-специално тези, проектирани с възможности за предотвратяване на DDoS.

Създайте план – можете да очертаете подробна стратегия за отговор на смърф атака, обхващаща всички аспекти на справяне с атака, включително комуникация, смекчаване и техники за възстановяване. Да вземем пример. Да приемем, че управлявате организация и хакер атакува мрежата ви, като открадва някои данни. Ще се справиш ли със ситуацията? Имате ли някакви стратегии?

Оценка на риска – Създайте рутина, при която редовно проверявате устройства, сървъри и мрежа. Уверете се, че имате пълна осведоменост за силните страни и уязвимостите на вашата мрежа както на хардуерните, така и на софтуерните компоненти, които да използвате като градивни елементи за това колко добре и какви стратегии използвате, за да създадете своя план.

Сегментирайте вашата мрежа – Ако разделите вашите системи, има минимални шансове вашата мрежа да бъде наводнена.

Можете също да конфигурирате вашата защитна стена да отхвърля ping извън вашата мрежа. Помислете за инвестиране в нов рутер с тези конфигурации по подразбиране.

Как да разпознаем смърф атаки

С новопридобитите си знания вече сте изпълнили мерки за превенция на смърфовете. И това, че тези мерки съществуват, не означава, че хакерите спират да атакуват вашите системи. Можете да включите мрежов администратор, който да наблюдава вашата мрежа, като използвате техния опит.

Мрежовият администратор помага да се идентифицират знаците, които рядко се наблюдават. Докато в случай на атака те могат да се справят с рутерите, сриващите се сървъри и честотната лента, докато поддръжката работи върху обработката на разговори с клиенти в случай на повреда на продукта.

Как да смекчим атаките на смърфове

Понякога хакер може успешно да започне атака въпреки всичките ви предпазни мерки. В този сценарий основната заявка е как да спрете атаката на Smurf. Не изисква никакви крещящи или сложни движения; не се тревожи.

Можете да намалите smurf атаките, като използвате комбинирани функции, които филтрират между ping, ICMP заявки за пакети и метод за свръхпровизия. Тази комбинация ви позволява, като мрежов администратор, да идентифицирате възможни заявки, входящи от фалшиви източници и да ги изтриете, като същевременно гарантирате нормални операции на сървъра.

Ето протоколите за щети, които можете да използвате в случай на атака:

Ограничете незабавно атакуваната инфраструктура или сървър, за да откажете заявки от всяка рамка за излъчване. Този подход ви позволява да изолирате вашия сървър, като му давате време да елиминира натоварването.

Препрограмирайте хоста, за да сте сигурни, че не отговаря на заявки за възприемани заплахи.

Заключителни думи

Управлението на компания изисква да обърнете голямо внимание на киберсигурността, за да не изпитате нито нарушения на данните, нито финансови загуби. С множеството заплахи за киберсигурността превенцията е най-добрата стратегия за защита на вашия бизнес.

И докато смърф атаките може да не представляват най-неотложната заплаха за киберсигурността, разбирането на смърфинг може да изгради вашето разбиране за противодействие на подобни DoS атаки. Можете да използвате всички техники за безопасност, описани в тази публикация.

Както видяхте, цялостната мрежова сигурност може да бъде напълно ефективна само срещу някои атаки за киберсигурност; трябва да разберем добре заплахата, която предотвратяваме, за да използваме най-добрите критерии.

След това вижте Фишинг атака 101: как да защитите бизнеса си.