Come proteggere la tua organizzazione dagli attacchi smurfing degli hacker

di

Dire che la sicurezza informatica oggi riguarda molte organizzazioni sarebbe un eufemismo, considerando il vasto spettro di attacchi nello spazio. La sicurezza informatica è una preoccupazione cruciale che, se lasciata incontrollata, potrebbe devastare la tua attività.

Un attacco informatico si verifica quando un attore di minacce con intenti malevoli sfrutta le vulnerabilità nel tuo sistema. Gli attacchi mirano spesso a rubare, alterare, disabilitare, distruggere o accedere a risorse non autorizzate. Oggi quasi tutte le aziende moderne lavorano con reti di computer che facilitano il lavoro. Mentre i vantaggi sono evidenti con i team che scalano la produzione, c’è un rischio per la sicurezza associato.

Questo post è un’analisi dettagliata degli attacchi smurfing nel dominio della sicurezza informatica, attacchi orientati a negare agli utenti l’accesso ai server, in particolare utilizzando il volume. Gli aggressori impiegano un enorme volume di richieste rendendo inutile una particolare rete. Immergiamoci.

Una breve panoramica degli attacchi DoS

E poco prima di imparare tutto sugli attacchi smurf, è necessario comprendere il concetto di Denial of Service (DoS) e Distributed Denial of Service (DDoS).

Gli attacchi DDoS o DoS sono orientati a rendere le risorse della tua rete non disponibili per gli utenti legittimi. Questa intrusione viene eseguita attaccando la tua rete da più punti attraverso di essa. Gli attacchi DoS hanno diverse classificazioni, come elencato di seguito:

  • Attacchi Flood: in questo tipo di attacco, grandi volumi di dati vengono inviati ai tuoi sistemi attraverso più dispositivi compromessi chiamati zombie o bot. Gli attacchi Flood coinvolgono HyperText Transfer Protocol (HTTP), User Datagram Protocol (UDP), Internet Control Message Protocol (ICMP) o Session Initiation Protocol (SIP).
  • Attacchi di amplificazione: in questo attacco, i bot inviano messaggi a un indirizzo IP trasmesso selezionato. La logica sottostante è che tutti i sistemi nella sottorete intercettata dall’indirizzo divulgato inviino una risposta al sistema. I tipi più comuni di attacchi di amplificazione DoS sono fraggle e smurf.
  • Attacchi Coremelt – In questa occasione, l’hacker divide i bot in due gruppi. L’hacker ordina ai bot di comunicare con un altro gruppo e quindi di inviare e ricevere grandi quantità di dati. Se la comunicazione ha esito positivo, è difficile tracciare questo attacco tramite pacchetti legittimi. Quello che succede è che l’attaccante prende di mira l’host e gli zombi comunicano per creare un’inondazione nella rete. I pacchetti di grandi dimensioni vengono incanalati verso lo stesso indirizzo IP, destinazione e numero di porta, schiacciando il sistema.
  • Attacchi TCP SYN: in questo tipo di attacco, gli hacker sfruttano le vulnerabilità di sicurezza del protocollo di controllo della trasmissione (TCP) inviando molte richieste SYN al server. Ad esempio, un server può rispondere a una richiesta inviando pacchetti SYN e di riconoscimento (ACK) e attendere l’ACK dal client. Se l’aggressore non invia il pacchetto ACK, il server attende ancora un inesistente ack. Poiché la coda del buffer è limitata, il server viene sovraccaricato e tutte le altre richieste valide in arrivo vengono rifiutate.
  • Attacchi ai server di autenticazione: in questo tipo di attacco, i server di autenticazione controllano la firma fasulla dell’attaccante e consumano più risorse di quanto dovrebbero per generare le firme.
  • Attacchi di richiesta CGI: l’attaccante invia richieste CGI (Common Gateway Interface) di grandi dimensioni, utilizzando i cicli e le risorse della CPU.

    • Cosa sono gli Attacchi Puffi?

    Gli attacchi puffosi si basano tutti sull’immersione del computer a livelli inutilizzabili.

    Un attacco smurf è un attacco DDoS che sovraccarica la tua rete con volumi elevati di richieste. Un attacco smurf invia una marea di richieste ICPM (Internet Control Message Protocol) alla rete mirata sfruttando le vulnerabilità IP, rallentandola gradualmente e infine spegnendo tutti i dispositivi in ​​esecuzione sulla rete.

    In caso di attacco puffoso riuscito alla tua attività, la tua organizzazione potrebbe perdere entrate significative. Altre volte, l’impatto può essere visto chiudendo determinati servizi, interrompendo i visitatori del tuo sito Web o deviando il traffico verso i siti della concorrenza. Nel peggiore dei casi, gli attacchi smurf possono coprire minacce più gravi come il furto di dati e proprietà intellettuale.

    La denominazione dell’attacco Puffo discende da uno strumento di exploit chiamato smurf negli anni ’90. Lo strumento ha creato piccoli pacchetti ICPM che hanno inaspettatamente abbattuto grandi bersagli, proprio come nel popolare cartone animato “I Puffi”.

    Tipi di attacchi dei Puffi

    Esistono due varianti di attacchi puffosi classificati in base alla raffinatezza della loro esecuzione, il base e l’avanzato.

    #1. Di base

    In questo caso, l’attacco colpisce la rete mirata con richieste echo ICMP illimitate. Le richieste vengono quindi incanalate a tutti i dispositivi collegati a quel server di rete richiedendo risposte. Di conseguenza, il volume di risposta è elevato per soddisfare tutte le richieste in arrivo e quindi sovraccarica il server.

    #2. Avanzate

    Gli attacchi smurf avanzati si basano su quelli di base configurando le fonti e quindi rispondono alle vittime di terze parti. Qui, l’hacker sta espandendo il proprio vettore di attacco, prendendo di mira gruppi più ampi di vittime e reti su larga scala.

    Come funzionano gli attacchi dei puffi

    Gli attacchi smurf si verificano in modo simile agli attacchi ping, che vanno oltre lo scopo di questo articolo, considerando le loro tecniche di esecuzione. Tuttavia, la differenza principale è evidente nella caratteristica di destinazione dell’exploit.

    Tipicamente, negli attacchi smurf, l’hacker invia richieste echo ICPM basandosi sulle risposte automatizzate del server. L’esecuzione viene eseguita con una larghezza di banda maggiore rispetto alla copertura dell’ambito predeterminato dell’area di destinazione. Ecco una ripartizione tecnica dei passaggi dell’attacco smurf per aiutarti a capire come funzionano:

  • Il primo passo è generare false richieste echo con IP di origine contraffatti tramite malware smurf. L’IP falsificato è l’indirizzo del server di destinazione. Le richieste di eco sono sviluppate da fonti progettate da aggressori, false con il pretesto di legittimità.
  • Il secondo passaggio prevede l’invio di richieste utilizzando una rete di trasmissione IP intermedia.
  • Il terzo passaggio prevede la trasmissione delle richieste a tutti gli host della rete.
  • Qui, gli host inviano risposte ICMP all’indirizzo di destinazione.
  • Il server viene disattivato nella fase finale se esistono sufficienti risposte ICMP in entrata.

    • Successivamente, capiremo la differenza tra gli attacchi Puffo e DDoS.

    Smurf contro attacchi DDoS

    Come hai visto, gli attacchi smurf comportano il flooding di una rete con pacchetti ICMP. Il modello di attacco può essere paragonato a come un gruppo può fare molto rumore gridando all’unisono. Se sei appassionato, ricorda che gli attacchi smurf sono un ramo secondario nella categoria degli attacchi DDoS. D’altra parte, i DDoS (Distributed Denial of Services) sono attacchi di rete che comportano l’allagamento di una rete target con traffico proveniente da fonti diverse.

    La differenza principale è che gli attacchi smurf vengono eseguiti inviando molte richieste echo ICMP all’indirizzo di trasmissione di una rete, mentre gli attacchi DDoS vengono eseguiti sovraccaricando la rete di traffico, in genere utilizzando botnet.

    Attacchi Puffi contro Fraggle

    Gli attacchi Fraggle sono una variante degli attacchi puffosi. Mentre gli attacchi smurf coinvolgono richieste echo ICMP, gli attacchi Fraggle inviano richieste UDP (user datagram protocol).

    Nonostante i loro metodi di attacco unici, prendono di mira le vulnerabilità IP ottenendo risultati simili. E per illuminarti, puoi usare le stesse tecniche di prevenzione discusse più avanti nel post per prevenire il dualismo.

    Conseguenze degli attacchi dei Puffi

    #1. Perdita di entrate

    Mentre la rete viene rallentata o arrestata, una parte significativa delle operazioni dell’organizzazione viene interrotta per un certo periodo di tempo. E quando i servizi non sono disponibili, le entrate che avrebbero potuto essere generate vanno perdute.

    #2. Perdita di dati

    Non saresti sorpreso se l’hacker ruba informazioni mentre tu e il tuo team gestite l’attacco DoS.

    #3. Danni alla reputazione

    Riesci a ricordare i clienti arrabbiati che si affidavano ai tuoi servizi? Potrebbero smettere di usare il tuo prodotto in eventi come l’esposizione di dati sensibili.

    Come proteggersi dagli attacchi dei puffi

    Per quanto riguarda la protezione dagli attacchi smurf, abbiamo raggruppato le misure in diverse sezioni; segni di identificazione, best practice per la prevenzione, criteri di rilevamento e mitigazione delle soluzioni di attacco. Continuare a leggere.

    I segni degli attacchi dei Puffi

    A volte, il tuo computer potrebbe avere il malware smurf, che rimane inattivo fino a quando l’hacker non lo attiva. Questa natura è tra i fattori limitanti che rendono difficile rilevare gli attacchi smurf. Che tu sia il proprietario o il visitatore di un sito Web, il segno più evidente di un attacco smurf che incontrerai è la risposta lenta del server o l’inoperabilità.

    Tuttavia, è meglio notare che una rete può arrestarsi per molte ragioni. Quindi, non dovresti solo trarre conclusioni. Scava in profondità nella tua rete per scoprire l’attività dannosa con cui hai a che fare. Se sospetti che i tuoi computer e le loro reti siano infetti da malware, dai un’occhiata al miglior antivirus gratuito per proteggere il tuo PC.

    Come prevenire gli attacchi dei puffi

    Sebbene gli attacchi puffosi siano vecchie tecniche, sono efficaci. Sono, tuttavia, difficili da rilevare e richiedono strategie per proteggersi da essi. Ecco alcune pratiche che puoi mettere in atto per allontanare gli attacchi dei puffi.

  • Disattivazione della trasmissione IP: gli attacchi Smurf fanno molto affidamento su questa funzione per ampliare l’area di attacco poiché invia pacchetti di dati a tutti i dispositivi su una determinata rete.
  • Configurazione di host e router: come accennato in precedenza, gli attacchi smurf trasformano in armi le richieste echo ICMP. La migliore pratica è configurare host e router per ignorare queste richieste.
  • Espandi la tua larghezza di banda: sarebbe meglio avere una larghezza di banda sufficiente per gestire tutti i picchi di traffico, anche quando si avvia un’attività dannosa.
  • Crea ridondanza: assicurati di distribuire i tuoi server su molti data center per disporre di un eccellente sistema con bilanciamento del carico per la distribuzione del traffico. Se possibile, i data center si estendono su diverse regioni dello stesso paese. Puoi persino collegarli su altre reti.
  • Proteggi i tuoi server DNS: puoi migrare i tuoi server a provider DNS basati su cloud, in particolare quelli progettati con funzionalità di prevenzione DDoS.
  • Creazione di un piano: è possibile definire una strategia di risposta agli attacchi smurf dettagliata che copra tutti gli aspetti della gestione di un attacco, comprese le tecniche di comunicazione, mitigazione e recupero. Facciamo un esempio. Supponi di gestire un’organizzazione e un hacker attacca la tua rete, rubando alcuni dati. Farai fronte alla situazione? Hai delle strategie in atto?
  • Valutazione del rischio: stabilisci una routine in cui controlli regolarmente i dispositivi, i server e la rete. Assicurati di avere una conoscenza approfondita dei punti di forza e delle vulnerabilità della tua rete sia dei componenti hardware che software da utilizzare come elementi costitutivi su quanto bene e quali strategie utilizzi per creare il tuo piano.
  • Segmenta la tua rete: se separi i tuoi sistemi, ci sono minime possibilità che la tua rete venga allagata.

    • Puoi anche configurare il tuo firewall per rifiutare i ping al di fuori della tua rete. Prendi in considerazione l’idea di investire in un nuovo router con queste configurazioni predefinite.

    Come rilevare gli attacchi dei puffi

    Con le tue nuove conoscenze acquisite, hai già eseguito misure di prevenzione dei puffi. E solo perché esistono queste misure non significa che gli hacker smettano di attaccare i tuoi sistemi. Puoi incorporare un amministratore di rete per monitorare la tua rete utilizzando la sua esperienza.

    Un amministratore di rete aiuta a identificare i segni che sono raramente osservabili. Mentre in caso di attacco, possono occuparsi di router, server in crash e larghezze di banda, mentre il supporto lavora sulla gestione delle conversazioni con i client in caso di guasto del prodotto.

    Come mitigare gli attacchi dei puffi

    A volte, un hacker può lanciare con successo un attacco nonostante tutte le tue precauzioni. In questo scenario, la domanda sottostante è come fermare l’attacco Smurf. Non richiede mosse appariscenti o complicate; non preoccuparti.

    È possibile attenuare gli attacchi smurf utilizzando funzioni combinate che filtrano tra ping, richieste di pacchetti ICMP e un metodo di overprovisioning. Questa combinazione consente all’amministratore di rete di identificare possibili richieste in arrivo da fonti contraffatte e di cancellarle garantendo il normale funzionamento del server.

    Ecco i protocolli di danno che puoi utilizzare in caso di attacco:

  • Limita immediatamente l’infrastruttura o il server attaccato per negare le richieste da qualsiasi framework di trasmissione. Questo approccio ti consente di isolare il tuo server, dandogli il tempo di eliminare il carico.
  • Riprogrammare l’host per garantire che non risponda alle richieste di minacce percepite.

    • Parole finali

    La gestione di un’azienda richiede di prestare molta attenzione alla sicurezza informatica per non subire né violazioni dei dati né perdite finanziarie. Con numerose minacce alla sicurezza informatica, la prevenzione è la migliore strategia per salvaguardare la tua attività.

    E mentre gli attacchi smurf potrebbero non rappresentare la minaccia più pressante per la sicurezza informatica, la comprensione dello smurfing potrebbe aiutarti a capire come contrastare simili attacchi DoS. Puoi utilizzare tutte le tecniche di sicurezza descritte in questo post.

    Come hai visto, la sicurezza complessiva della rete può essere pienamente efficace solo contro alcuni attacchi alla sicurezza informatica; dobbiamo comprendere a fondo la minaccia che stiamo prevenendo per utilizzare i criteri migliori.

    Successivamente, dai un’occhiata all’attacco di phishing 101: come proteggere la tua azienda.