حمله اسمورفینگ

از ویکی‌پدیا، دانشنامهٔ آزاد
پرش به: ناوبری، جستجو

حمله اسمورف یا اسمورفینگ (به انگلیسی: Smurf/Smurfing Attack) در واقع یکی از انواع حمله محروم‌سازی از سرویس (به انگلیسی: Denial of Service) (یا به اختصار DoS) است. این نوع حمله مبتنی بر تابع Reply پروتکل Internet Control Message Protocol) ICMP)، بوده و بیشتر با نام ping شناخته شده می‌باشد .(Ping، ابزاری است که پس از فعال شدن از طریق خط دستور، تابع Reply پروتکل ICMP را فرامی خواند) . در این نوع حملات، مهاجم اقدام به ارسال بسته‌های اطلاعاتی Ping به آدرس‌های Broadcast شبکه نموده که در آنان آدرس مبداء هر یک از بسته‌های اطلاعاتی Ping شده با آدرس کامپیوتر قربانی، جایگزین می‌گردد. بدین ترتیب یک ترافیک کاذب در شبکه ایجاد و امکان استفاده از منابع شبکه با اختلال مواجه می‌گردد.[۱]

تاریخچه[ویرایش]

در اواخر سال ۱۹۹۰، بسیاری از شبکه‌های IP در حملات Smurf شرکت داشتند مگر آنهایی که سریع بودند (آنهایی که به درخواست ICMP فرستاده شده به آدرس همه پخشی سریع پاسخ می‌دادند). امروزه مدیران شبکه، به سهولت می‌توانند با ایمن کردن شبکه، خطر این حمله را کاهش دهند.[۲]

شکل حمله[ویرایش]

این حملات با ارسال درخواست‌های ICMP به سمت محدوده‌ای از IP های amplifier باعث وسعت دادن ترافیک و به وجود آمدن حمله DOS می‌شوند. حمله کننده می‌تواند درخواست‌های ICMP خود را به صورت Spoof شده و از طرف ماشین قربانی به IP های amplifier ارسال کند با ارسال هر درخواست صدها جواب برای درخواست ICMP به سمت ماشین قربانی سرازیر می‌شوند و ترافیک آن را بالا می‌برند.


Amplifier: تمام شبکه‌هایی که درخواست‌های ICMP را برای IP broadcast خود فیلتر نکرده‌اند یک Amplifier محسوب می‌شوند. حمله کننده می‌تواند در خواست‌های خود را مثلاً به IPهایی مانند: xxx.۱۹۲٫۱۶۸٫۰ که X می‌تواند ۲۵۵, ۲۲۳, ۱۹۱, ۱۵۹, ۱۲۷, ۹۵, ۶۳, ۳۱, ۱۵, ۷, ۳ یعنی IPهای Broadcast باشند ارسال کند. البته قابل ذکر است IP broadcast بستگی به چگونگی بخش‌بندی IP در شبکه دارد.[۳]

روش‌های جلوگیری[ویرایش]

  1. پیکربندی کامپیوترها و مسیریاب ها طوری که به درخواست های icmp و همه پخشی پاسخ ندهند.
  2. پیکربندی مسیریاب ها طوری که بسته ها را مستقیم به آدرس های همه پخشی forward نکند.تا سال 1999 ، طبق استاندارد ، forward مسیریاب ها به صورت پیشفرض فعال بود اما بعد از آن طبق استاندارد این ویژگی غیرفعال شد.[۴]

راه حل دیگر فیلتر کردن بسته های ورودی بر اساس ادرس مبدأ (به انگلیسی: Ingress Filtering) است. [۵]

پیکربندی مسیریاب سیسکو با دستور زیر می توان قابلیت forward را در مسیریاب سیسکو غیرفعال نمود:

Router(config-if)# no ip directed-broadcast

حمله فراگل[ویرایش]

حمله فراگل (به انگلیسی: Fraggle Attack) شباهت زیادی با حملات از نوع Smurf داشته و تنها تفاوت موجود به استفاده از User Datagram Protocol ) UDP) در مقابل ICMP ، برمی گردد . در حملات فوق ، مهاجمان اقدام به ارسال بسته های اطلاعاتی UDP به آدرس های Broadcast ( مشابه تهاجم Smurf ) می نمايند . اين نوع از بسته های اطلاعاتی UDP به مقصد پورت 7 ( echo ) و يا پورت 19 ( Chargen ) ، هدايت می گردند.[۶]

منابع[ویرایش]

  1. http://www.srco.ir/Articles/DocView.asp?ID=246
  2. For example, netscan.org (Web Archive) showed 122,945 broken networks as of Jan 25, 1999, but only 2,417 as of Jan 06, 2005.
  3. http://www.prozhe.com/دانلود-مقالهحملات-عدم-سرویس-دهی-dos
  4. D. Senie, "Changing the Default for Directed Broadcasts in Routers", RFC 2644, BCP 34
  5. P. Ferguson and D. Senie, "Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing", RFC 2827, BCP 38
  6. http://www.srco.ir/Articles/DocView.asp?ID=246