تکنولوژی

حمله نوع smurf

حمله نوع smurf

حملۀ Smurf یکی دیگر از حملات شایع DoS محسوب میشود.

البته مقابله با این حمله ساده است ولی اگر از شرایط بروز آن پیشگیری نشود ، بسیار مخرب خواهد بود.

این نوع حمله بر ارسال فراگیر بسته در درون یک شبکۀ محلی استوار است.

آدرس ip شامل دو بخش HostID و NetID است؛ اگر تمام بیتهای بخش HostID به 1 تنظیم شود ، بستۀ ip توسط همۀ ماشین های آن شبکۀ محلی دریافت خواهد شد. آدرس های زیر همگی فراگیر محسوب میشوند:

10.255.155.255 Class A
131.131.255.255 Class B
192.148.171.255 Class C

وقتی مسیریاب بسته ای را دریافت کند که آدرس مقصد آن فراگیر است ، آدرس فیزیکی فریم حامل آن بسته را بگونه ای تنظیم میکند تا تمام ماشین های متصل به آن شبکۀ محلی بسته را از روی کانال بردارند.

آدرس MAC فراگیر نیز FF-FF-FF-FF-FF-FF است. بدین صورت تمام ماشین های شبکه آن بسته را دریافت خواهند کرد.

نفوذگر از این روش برای سرازیر کردن یک سیل ویرانگر از بسته ها به سمت ماشین قربانی استفاده میکند. به سناریوی زیر دقت کنید:

  • نفوذگر یک بستۀ ICMP Echo Request را با تنظیم آدرس بصورت فراگیر ، برای تمام ماشین های شبکه ارسال میکند. این بسته توسط تمام ماشین ها دریافت شده و هر یک از آنها بصورت جداگانه سعی میکنند به سمت مبداء آن ، بستۀ ICMP Echo Reply ارسال نمایند. بعنوان مثال اگر روی شبکه 30 ماشین فعال وجود داشته باشد با ارسال یک بستۀ ping ماشین مبداء سی بستۀ پاسخ دریافت خواهد کرد.
  • حال فرض کنید نفوذگر در فیلد آدرس ip مبداء بسته ، بصورت جعلی آدرس ماشین قربانی را قرار بدهد و آنرا روی شبکه ارسال نماید. ماشین قربانی به ناگاه تعداد زیادی بستۀ دریافت میکند و بمباران میشود! تعداد بسته هایی که قربانی دریافت میکند به تعداد ماشینهای شبکۀ محلی خواهد بود. فرض کنید در یک شبکۀ محلی به تعداد k ماشین فعال وجود داشته باشد. اگر نفوذگر در هر ثانیه n بستۀping , روی آن شبکه بفرستد ماشین قربانی در هر ثانیه به تعداد k* n بسته دریافت خواهد کرد. ماشینهای درون شبکه ناخودآگاه به این حمله کمک کرده اند بهمین دلیل به آنها تقویت کننده یا SMURF Amplifier گفته میشود. در این حملۀ خطرناک اگر نفوذگر یک خط 56kbts در اختیار داشته باشد و بفرض 30 ماشین روی شبکۀ هدف فعّال باشد ، ماشین قربانی در هر ثانیه با سیلی معادل 1.68mbts مواجه خواهد شد که این حجم بیشتر از خط T1 خواهد بود.

ایجاد سیل بسته های ICMP بسیار ساده است ولی راه مقابله با آن نیز ساده است. در آدرس زیر میتوان نرم افزارهای شبیه ساز این نوع حمله را بدست آورد: http://packetstorm.securify.com

عبور دادن بسته های فراگیر (Broadcast) از بیرون به درون شبکۀ محلی ، نقطه ضعف یک مسیریاب محسوب میشود و نفوذگر در فاز شناسائی قادر خواهد بود که این نقطه ضعف را کشف کند. برای بدست آوردن نرم افزار آشکارکنندۀ این ضعف به آدرس های زیر مراجعه کنید:

http:// www.netscan.com/
http://www.pulltheplug.com/broadcast2.html

محمد

محمد

برنامه نویس و کارشناس شبکه
دیدن ادامه مقالات

کارشناس شبکه و نرم افزار


برای ارسال دیدگاه لطفا ثبت نام کنید

نظرات کاربران