Wat is een Smurf attack?

DEFINITIE VAN VEILIGHEID

Een smurf-aanval is een typeDistributed Denial of Service-aanval (DDoS)die ervoor zorgt dat computernetwerken onbruikbaar worden. Het smurf-programma doet dit door de kwetsbaarheden te exploiteren van het Internet Protocol (IP) en Internet Control Message Protocollen (ICMP).

Een smurf-aanval verloopt als volgt:

• Ten eerste creëert de malware een netwerkpakket dat gekoppeld is aan een vals IP-adres — dit is een techniek die bekend staat als 'spoofing'.
• In het pakket zit een ICMP-pingbericht dat netwerknodes die het pakket hebben ontvangen een antwoord terug te sturen
• Deze antwoorden, ook wel 'echo's' genoemd, worden vervolgens teruggestuurd naar IP-adressen op het netwerk, waardoor er een oneindige lus wordt gecreëerd.

In combinatie met IP-verzendingen - die het schadelijke pakket naar elk IP-adres op een netwerk sturen - kan de smurf-aanval al snel leiden tot een volledige denial of service leiden.

Overdracht van smurf-aanvallen en de gevolgen

Het is mogelijk om per ongeluk de smurf-trojan van een niet-geverifieerde website of via een link in een geïnfecteerde e-mail te downloaden. Doorgaans blijft het programma op een computer sluimeren tot het wordt geactiveerd door een externe gebruiker; dit is ook de reden waarom veel smurfen zijn gebundeld met rootkits, zodat hackers via een backdoor eenvoudig toegang hebben tot het systeem. Eén manier om een smurf-aanval het hoofd te bieden, is het uitschakelen van IP-broadcastadressering voor elke netwerkrouter. Deze functie wordt zelden gebruikt; als deze wordt uitgeschakeld, kan een aanval een netwerk niet overweldigen.

Als een smurf-DDoS-aanval is gelukt, kan deze complete bedrijfsservers uren of dagen platleggen, resulterend in verlies van inkomsten en frustratie bij klanten. Een erger mogelijk scenario is dat dit type aanval een dekmantel is voor iets duisterders, zoals diefstal van bestanden of ander intellectueel eigendom. Voorkomen van smurf- en soortgelijke DDoS-aanvallen vereist een robuuste preventiestrategie die het netwerkverkeer kan analyseren en eventuele eigenaardigheden kan detecteren, zoals bijvoorbeeld afwijkende pakketvolumes, gedragingen en handtekeningen; veel malwarebots hebben specifieke kenmerken en de juiste beveiligingsservice kan je helpen met het tegenhouden van een smurf of andere DDoS-aanval voordat deze begint.

Hoe je jezelf kunt beschermen

Een smurf klinkt schattig, maar levert echte risico's op als servers worden overweldigd. Uitgeschakelde IP-broadcastadressering en betrouwbare detectietools helpen je met het beperken van de risico's op deze aanval. Hier volgt een aantal stappen om smurf-aanvallen tegen te gaan:

• zorg ervoor dat directed broadcasts worden geblokkeerd en zo buiten het netwerk worden gehouden
• configureer hosts en routers om niet te reageren op ICMP-echoaanvragen.

Een variant op de smurf-aanval is de fraggle-aanval. Dit is in principe hetzelfde als de smurf-aanval, maar in plaats van een ICMP-echoaanvraag naar het directe broadcastadres worden er UDP-pakketten gestuurd. In geval van fraggle-aanvallen worden dezelfde beperkende maatregelen aanbevolen.

Andere artikelen en links met betrekking tot smurf-aanvallen

• Wat is een botnet?
• Infographic: Botnets - criminaliteitsnetwerken met robots
• Kaspersky Antivirus Solution