Ataque de pitufo
Un ataque Smurf es un ataque de denegación de servicio distribuido en el que una gran cantidad de paquetes del Protocolo de mensajes de control de Internet (ICMP) con la IP de origen falsificada de la víctima se transmiten a un red informática utilizando una dirección IP de difusión. La mayoría de los dispositivos en una red responderán, de forma predeterminada, enviando una respuesta a la dirección IP de origen. Si la cantidad de máquinas en la red que reciben y responden a estos paquetes es muy grande, la computadora de la víctima se verá inundada de tráfico. Esto puede ralentizar la computadora de la víctima hasta el punto en que se vuelve imposible trabajar en ella.
Historia
El Pitufo original fue escrito por Dan Moschuk (alias TFreak) en 1997.
A fines de la década de 1990, muchas redes IP participaban en ataques Smurf si se les solicitaba (es decir, respondían a solicitudes ICMP enviadas a direcciones de transmisión). El nombre proviene de la idea de atacantes muy pequeños pero numerosos que abruman a un oponente mucho más grande (ver Pitufos). Hoy, los administradores pueden hacer que una red sea inmune a tal abuso; por lo tanto, muy pocas redes siguen siendo vulnerables a los ataques de Smurf.
Factores de amplificación del ataque
Un amplificador Smurf es una red informática que se presta para ser utilizada en un ataque Smurf. Los amplificadores Smurf actúan para empeorar la gravedad de un ataque Smurf porque están configurados de tal manera que generan una gran cantidad de respuestas ICMP a la víctima en la dirección IP de origen falsificada. El factor de amplificación de ataque (AAF) es un término acuñado por el Dr. Sanjeev Kumar, profesor de la Universidad de Texas en su artículo publicado para representar el grado de mejora o amplificación del ancho de banda que experimenta un tráfico de ataque original (con la ayuda de amplificadores Smurf) durante su transmisión hacia el ordenador víctima.
Bajo el supuesto de que no se toman contramedidas para amortiguar el efecto de un Smurf Attack, esto es lo que sucede en la red de destino con n hosts activos (que responderán a las solicitudes de eco ICMP). Los paquetes de solicitud de eco ICMP tienen una dirección de origen suplantada (el objetivo de Smurfs) y una dirección de destino (el chivo expiatorio; la fuente aparente del ataque). Ambas direcciones pueden adoptar dos formas: unidifusión y difusión.
La forma de unidifusión dual es comparable con un ping normal: se envía una solicitud de eco ICMP al chivato (un único host), que envía una única respuesta de eco ICMP (un pitufo) al destino (el único host en el Dirección de la fuente). Este tipo de ataque tiene un factor de amplificación de 1, lo que significa: solo un Smurf por ping.
Cuando el objetivo es una dirección de unidifusión y el destino es la dirección de difusión de la red del objetivo, todos los hosts de la red recibirán una solicitud de eco. A cambio, cada uno responderá al objetivo, por lo que el objetivo se inunda con n Pitufos. Factor de amplificación = n. Si n es pequeño, un host puede verse obstaculizado pero no paralizado. Si n es grande, un host puede detenerse.
Si el objetivo es la dirección de transmisión y el chivo expiatorio una dirección de unidifusión, cada host en la red recibirá un solo Smurf por ping, por lo que un factor de amplificación de 1 por host, pero un factor de n para la red. En general, una red podría hacer frente a esta forma de ataque, si n no es demasiado grande.
Cuando tanto la dirección de origen como la de destino en el paquete original se establecen en la dirección de transmisión de la red de destino, las cosas comienzan a salirse de control rápidamente. Todos los hosts reciben una solicitud de eco, pero todas las respuestas se transmiten nuevamente a todos los hosts. Cada host recibirá un ping inicial, transmitirá la respuesta y obtendrá una respuesta de todos los hosts n-1. Un factor de amplificación de n para un solo host, pero un factor de amplificación de n2 para la red.
Las solicitudes de eco ICMP normalmente se envían una vez por segundo. La respuesta debe contener el contenido de la solicitud; unos pocos bytes, normalmente. Un ping único (difusión doble) a una red con 100 hosts hace que la red procese 10000 paquetes. Si la carga útil del ping aumenta a 15000 bytes (o 10 paquetes completos en ethernet), entonces ese ping hará que la red tenga que procesar 100000 large paquetes por segundo. Envíe más paquetes por segundo y cualquier red colapsaría bajo la carga. Esto hará que cualquier host en la red sea inalcanzable mientras dure el ataque.
Mitigación
La solución es doble:
- Configure hosts y routers para ignorar paquetes donde la dirección de origen es una dirección de radio; y
- Configure routers to not forward packets directed to broadcast addresses. Hasta 1999, los estándares exigían que los routers enviaran esos paquetes por defecto. Desde entonces, el estándar predeterminado se cambió para no reenviar tales paquetes.
También es importante que los ISP implementen el filtrado de entrada, que rechaza los paquetes atacantes en función de la dirección de origen falsificada.
Mitigación en un enrutador Cisco
Un ejemplo de configuración de un enrutador para que no reenvíe paquetes a direcciones de transmisión, para un enrutador Cisco, es:
Router(config-if)# no ip directed-broadcast
(Este ejemplo no protege a una red de convertirse en el objetivo de un ataque Smurf; simplemente evita que la red participe en un ataque Smurf).
Ataque Fraggle
Un ataque Fraggle (llamado así por las criaturas de la serie de televisión de marionetas Fraggle Rock) es una variación de un ataque Smurf donde un atacante envía una gran cantidad de tráfico UDP a los puertos 7 (Echo) y 19 (CARGO). Funciona de manera similar al ataque Smurf en el sentido de que muchas computadoras en la red responderán a este tráfico enviando tráfico de regreso a la IP de origen falsificada de la víctima, inundándola con tráfico.
Fraggle.c, el código fuente de el ataque, también fue lanzado por TFreak.