Ataque DDoS SMURF

Un ataque smurf es un tipo de ataque DDoS en el que se inunda a la víctima con solicitudes ICMP.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir un ataque SMURF
  • Entender cómo funciona un ataque SMURF
  • Implementar una estrategia de mitigación para los ataques SMURF

Copiar enlace del artículo

¿Qué es un ataque Smurf?

Un ataque Smurf es un ataque de denegación de servicio distribuido (DDoS) en el que un atacante intenta inundar un servidor objetivo con paquetes del Protocolo de control de mensajes de Internet (ICMP). Al hacer solicitudes con la dirección IP falsificada del dispositivo objetivo a una o más redes informáticas, estas responden al servidor objetivo, amplificando el tráfico de ataque inicial y sobrecargando potencialmente al objetivo, que lo vuelve inaccesible. Este vector de ataque se suele considerar como una vulnerabilidad resuelta y ya no es frecuente.

¿Cómo funciona un ataque Smurf?

Aunque los paquetes ICMP pueden utilizarse en un ataque DDoS, suelen cumplir valiosas funciones en la administración de redes. La aplicación de ping, que utiliza paquetes ICMP, la utilizan los administradores de red para probar dispositivos de hardware en red, como ordenadores, impresoras o enrutadores. Un ping se suele utilizar para ver si un dispositivo está operativo, y para hacer un seguimiento de la cantidad de tiempo que tarda el mensaje en hacer un viaje de ida y vuelta desde el dispositivo de origen al de destino, y de vuelta al de origen. Por desgracia, como el protocolo ICMP no incluye un protocolo de enlace, los dispositivos de hardware que reciben solicitudes no pueden verificar si la petición es legítima.

Podemos pensar que este tipo de ataque DDoS es como cuando un bromista llama al director de una oficina y se hace pasar por el Director general de la empresa. El bromista le pide al director que diga a los empleados que tienen que llamar al Director general a su número privado y ponerle al día de cómo les va. El bromista da el número de devolución de la llamada de una víctima seleccionada, que recibe entonces tantas llamadas no deseadas como personas hay en la oficina.

Así funciona un ataque Smurf:

  1. Primero, el malware Smurf crea un paquete falsificado que tiene como dirección de origen la dirección IP real de la víctima objetivo.
  2. A continuación, el paquete se envía a una dirección de difusión de IP de un enrutador o firewall, que a su vez envía solicitudes a todas las direcciones de dispositivos anfitriones dentro de la red de difusión, aumentando el número de solicitudes por el número de dispositivos conectados a la red.
  3. Cada dispositivo de la red recibe la solicitud del emisor y luego responde a la dirección falsificada del objetivo con un paquete de respuesta de eco de ICMP.
  4. La víctima recibe entonces un diluvio de paquetes de respuesta de eco de ICMP, que puede llegar a sobrecargar y provocar una denegación de servicio en el tráfico legítimo.

¿Cómo se puede mitigar un ataque Smurf?

A lo largo de los años, se han desarrollado e implementado varias estrategias de mitigación para este vector de ataque, y se considera que la vulneración está prácticamente resuelta. En un número limitado de sistemas heredados, es posible que todavía sea necesario aplicar técnicas de mitigación. Una solución sencilla es desactivar las direcciones de difusión IP en cada enrutador y firewall de la red. Es probable que los enrutadores más antiguos habiliten la difusión por defecto, mientras que los enrutadores más modernos ya la tengan desactivada. En caso de que se produzca un ataque Smurf, Cloudflare elimina el tráfico de ataque al impedir que los paquetes de ICMP lleguen al servidor de origen objetivo. Más información sobre cómo funciona la protección contra DDoS de Cloudflare.

Ventas