Ataque DDoS smurf

O que é um ataque smurf?

Um ataque smurf é um ataque distribuído de negação de serviço (DDoS) no qual um invasor tenta inundar um servidor visado com pacotes do Protocolo de Mensagens de Controle da Internet (ICMP). Ao fazer solicitações com o endereço de IP falsificado do dispositivo visado para uma ou mais redes de computadores, essas redes respondem então ao servidor atacado, amplificando o tráfego de ataque inicial e potencialmente sobrecarregando o alvo, tornando-o inacessível. Esse vetor de ataque geralmente é considerado uma vulnerabilidade resolvida e não é mais predominante.

Como funciona um ataque smurf?

Embora os pacotes ICMP possam ser utilizados em um ataque DDoS, normalmente eles realizam funções valiosas na administração da rede. O aplicativo ping, que utiliza pacotes ICMP, é utilizado por administradores de rede para testar dispositivos de hardware em rede, tais como computadores, impressoras ou roteadores. Um ping geralmente é usado para ver se um dispositivo está operacional e para rastrear o tempo de ida e volta de uma mensagem do dispositivo de origem até o alvo e de volta à origem. Infelizmente, como o protocolo ICMP não inclui um handshake, os dispositivos de hardware que recebem as solicitações não conseguem verificar se a solicitação é legítima.

Metaforicamente falando, pode-se pensar nesse tipo de ataque DDoS como uma brincadeira: alguém liga para um gerente de escritório fingindo ser o CEO da empresa. O "brincalhão" pede ao gerente que diga a cada funcionário para ligar de volta para o executivo em seu número particular e dar a ele uma atualização sobre como estão se saindo. O "brincalhão" dá o número de retorno de chamada de uma vítima visada, que então recebe tantas ligações indesejadas quanto o número de pessoas no escritório.

Veja como funciona um ataque smurf:

1. Primeiro o malware Smurf cria um pacote falsificado que tem seu endereço de origem definido como o verdadeiro endereço de IP da vítima visada.
2. O pacote é então enviado para um endereço de IP de broadcast de um roteador ou firewall, que por sua vez envia solicitações para cada endereço de dispositivo host dentro da rede de broadcast, aumentando o número de solicitações pelo número de dispositivos conectados em rede da rede.
3. Cada dispositivo dentro da rede recebe a solicitação do emissor e em seguida, responde ao endereço falsificado do alvo com um pacote de resposta de eco ICMP.
4. A vítima visada recebe então um dilúvio de pacotes de resposta de eco ICMP, ficando sobrecarregada, o que resulta em uma negação de serviço para o tráfego legítimo.

Como é possível mitigar um ataque smurf?

Foram desenvolvidas e implementadas várias estratégias de mitigação para esse vetor de ataque ao longo dos anos, e a exploração é considerada, em grande parte, resolvida. Em um número limitado de sistemas legados, pode ser que ainda seja necessário aplicar técnicas de mitigação. Uma solução simples é desativar os endereços de IP de broadcast em cada roteador e firewall de rede. Os roteadores mais antigos provavelmente permitirão a realização de broadcast por definição, enquanto nos roteadores mais novos, o broadcast provavelmente já estará desativado. Caso ocorra um ataque smurf, a Cloudflare elimina o tráfego de ataque, evitando que os pacotes ICMP cheguem ao servidor de origem visado. Saiba mais sobre como funciona a proteção contra DDoS da Cloudflare.