حمله اسمورفینگ

حمله اسمورف یا اسمورفینگ (به انگلیسی: Smurf/Smurfing Attack) در واقع یکی از انواع حمله محروم‌سازی از سرویس (به انگلیسی: Denial of Service) (یا به اختصار DoS) است. این نوع حمله مبتنی بر تابع Reply پروتکل Internet Control Message Protocol) ICMP)، بوده و بیشتر با نام ping شناخته شده می‌باشد .(Ping، ابزاری است که پس از فعال شدن از طریق خط دستور، تابع Reply پروتکل آی‌سی‌ام‌پیICMPرا فرامی خواند). در این نوع حملات، مهاجم اقدام به ارسال بسته‌های اطلاعاتی Ping به آدرس‌های Broadcast شبکه نموده که در آنان آدرس مبدأ هر یک از بسته‌های اطلاعاتی Ping شده با آدرس کامپیوتر قربانی، جایگزین می‌گردد. بدین ترتیب یک ترافیک کاذب در شبکه ایجاد و امکان استفاده از منابع شبکه با اختلال مواجه می‌گردد.[۱]

تاریخچه

ویرایش

در اواخر سال ۱۹۹۰، بسیاری از شبکه‌های IP در حملات Smurf شرکت داشتند مگر آنهایی که سریع بودند (آنهایی که به درخواست ICMP فرستاده شده به آدرس همه پخشی سریع پاسخ می‌دادند). امروزه مدیران شبکه، به سهولت می‌توانند با ایمن کردن شبکه، خطر این حمله را کاهش دهند.[۲]

شکل حمله

ویرایش

این حملات با ارسال درخواست‌های آی‌سی‌ام‌پی به سمت محدوده‌ای از IPهای amplifier باعث وسعت دادن ترافیک و به وجود آمدن حمله DOS می‌شوند. حمله کننده می‌تواند درخواست‌های آی‌سی‌ام‌پی خود را به صورت Spoof شده و از طرف ماشین قربانی به IPهای amplifier ارسال کند با ارسال هر درخواست صدها جواب برای درخواست آی‌سی‌ام‌پی به سمت ماشین قربانی سرازیر می‌شوند و ترافیک آن را بالا می‌برند.

  • Amplifier: تمام شبکه‌هایی که درخواست‌های آی‌سی‌ام‌پی را برای IP broadcast خود فیلتر نکرده‌اند یک Amplifier محسوب می‌شوند.

حمله کننده می‌تواند در خواست‌های خود را مثلاً به IPهایی مانند: xxx.۱۹۲٫۱۶۸٫۰ که X می‌تواند ۲۵۵, ۲۲۳, ۱۹۱, ۱۵۹, ۱۲۷, ۹۵, ۶۳, ۳۱, ۱۵, ۷, ۳ یعنی IPهای Broadcast باشند ارسال کند. البته قابل ذکر است IP broadcast بستگی به چگونگی بخش‌بندی IP در شبکه دارد.[۳]

روش‌های جلوگیری

ویرایش
  1. پیکربندی کامپیوترها و مسیریاب‌ها طوری که به درخواست‌های آی‌سی‌ام‌پی و همه پخشی پاسخ ندهند.
  2. پیکربندی مسیریاب‌ها طوری که بسته‌ها را مستقیم به آدرس‌های همه پخشی forward نکند. تا سال ۱۹۹۹، طبق استاندارد، forward مسیریاب‌ها به صورت پیشفرض فعال بود اما بعد از آن طبق استاندارد این ویژگی غیرفعال شد.[۴]

راه حل دیگر فیلتر کردن بسته‌های ورودی بر اساس آدرس مبدأ (به انگلیسی: Ingress Filtering) است.[۵]

پیکربندی مسیریاب سیسکو با دستور زیر می‌توان قابلیت forward را در مسیریاب سیسکو غیرفعال نمود:

Router(config-if)# no ip directed-broadcast

حمله فراگل

ویرایش

حمله فراگل (به انگلیسی: Fraggle Attack) شباهت زیادی با حملات از نوع Smurf داشته و تنها تفاوت موجود به استفاده از User Datagram Protocol) UDP) در مقابل ICMP، برمی گردد. در حملات فوق، مهاجمان اقدام به ارسال بسته‌های اطلاعاتی UDP به آدرس‌های Broadcast (مشابه تهاجم Smurf) می‌نمایند. این نوع از بسته‌های اطلاعاتی UDP به مقصد پورت 7 (echo) یا پورت 19 (Chargen)، هدایت می‌گردند.[۱]

منابع

ویرایش
  1. ۱٫۰ ۱٫۱ «نسخه آرشیو شده». بایگانی‌شده از اصلی در ۱۶ ژانویه ۲۰۱۴. دریافت‌شده در ۱۸ نوامبر ۲۰۱۳.
  2. For example, netscan.org (Web Archive) showed 122,945 broken networks as of Jan 25, 1999, but only 2,417 as of Jan 06, 2005.
  3. http://www.prozhe.com/دانلود-مقالهحملات-عدم-سرویس-دهی-dos
  4. D. Senie, "Changing the Default for Directed Broadcasts in Routers", RFC 2644, BCP 34
  5. P. Ferguson and D. Senie, "Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing", RFC 2827, BCP 38