Smurf-DDoS-Angriff

Ein DDoS-Angriff, bei dem ein Opfer mit ICMP-Anfragen überflutet wird.

Share facebook icon linkedin icon twitter icon email icon

Smurf-Angriff

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Einen Smurf-Angriff definieren
  • Den Ablauf eines Smurf-Angriffs verstehen
  • Eine Bekämpfungsstrategie für Smurf-Angriffe implementieren

Was ist ein Smurf-Angriff?

Ein Smurf-Angriff ist ein verteilter Denial-of-Service-(DDoS)-Angriff, bei dem ein Angreifer versucht, einen Zielserver mit ICMP-(Internet Control Message Protocol)-Paketen zu überfluten. Wenn Anfragen mit der gespooften IP-Adresse des Zielgeräts an ein oder mehr Computernetzwerke gesendet werden, antworten die Computernetzwerke dem Zielserver, verstärken den ursprünglichen Angriffs-Traffic und können das Opfer überlasten und unzugänglich machen. Dieser Angriffsvektor wird allgemein als gelöstes Sicherheitsrisiko betrachtet und kommt nicht mehr häufig vor.

Wie läuft ein Smurf-Angriff ab?

Auch wenn ICMP-Pakete in einem DDoS-Angriff verwendet werden können, erfüllen sie normalerweise wertvolle Funktionen bei der Netzwerkverwaltung. Die Ping-Anwendung, bei der ICMP-Pakete verwendet werden, wird von Netzwerkadministratoren zum Test von vernetzten Hardwaregeräten wie Computern, Druckern oder Routern eingesetzt. Ein Ping wird gewöhnlich verwendet, um zu überprüfen, ob ein Gerät betriebsbereit ist, und um die Zeit zu messen, die die Nachricht vom Quellgerät zum Ziel und wieder zurück zur Quelle braucht. Da das ICMP-Protokoll keinen Handshake einschließt, können Hardwaregeräte, die Anfragen empfangen, leider nicht überprüfen, ob die Anfrage legitim ist.

Man kann sich diesen DDoS-Angriffstyp metaphorisch so vorstellen, dass ein Schelm einen Abteilungsleiter anruft und vorgibt, der CEO der Firma zu sein. Der Schelm bittet den Abteilungsleiter, jeden Angestellten anzuweisen, den CEO unter seiner privaten Telefonnummer zurückzurufen, um ihm einen persönlichen Lagebericht zu geben. Der Schelm gibt die Rückrufnummer eines Opfers an, das dann so viele unerwünschte Anrufe erhält, wie es Angestellte im Büro gibt.

So läuft ein Smurf-Angriff ab:

  1. Zuerst erstellt die Smurf-Malware ein gespooftes Paket, dessen Quelladresse auf die echte IP-Adresse des Opfers eingestellt ist.
  2. Das Paket wird dann an eine IP-Broadcastadresse eines Routers oder einer Firewall gesendet, die wiederum Anfragen an jede Hostgeräteadresse innerhalb des Übertragungsnetzwerks sendet und so die Anzahl der Anfragen um die Anzahl der vernetzten Geräte im Netzwerk erhöht.
  3. Jedes Gerät innerhalb des Netzwerks empfängt die Anfrage vom Sender und antwortet dann auf die gespoofte Adresse des Opfers mit einem ICMP-Echoantwortpaket.
  4. Das Opfer empfängt daraufhin eine Flut von ICMP-Echoantwortpaketen und wird potentiell überlastet, wodurch ein Denial-of-Service für legitimen Datenverkehr verursacht wird.

Wie kann ein Smurf-Angriff bekämpft werden?

Im Laufe der Jahre wurden mehrere Bekämpfungsstrategien für diesen Angriffsvektor entwickelt und implementiert, und der Exploit wird weitgehend als gelöst betrachtet. Bei einer begrenzten Anzahl von Legacy-Systemen kann es immer noch erforderlich sein, Bekämpfungstechniken einzusetzen. Eine einfache Lösung besteht darin, IP-Broadcastadressen an jedem Router und jeder Firewall im Netzwerk zu deaktivieren. Ältere Router aktivieren Übertragungen wahrscheinlich standardmäßig, während sie bei neueren Routern wahrscheinlich bereits deaktiviert sind. Im Fall eines Smurf-Angriffs eliminiert Cloudflare den Angriffs-Traffic, indem die ICMP-Pakete daran gehindert werden, den angegriffenen Ursprungsserver zu erreichen. Erfahren Sie mehr über die Funktionsweise von Cloudflares DDoS-Schutz.