Comment protéger votre organisation contre les attaques de smurfing par des pirates

par
Tweetez
Partagez
Enregistrer
Partagez
Partagez
0 Partages

Dire que la cybersécurité concerne aujourd’hui de nombreuses organisations serait un euphémisme, compte tenu du vaste spectre d’attaques dans l’espace. La cybersécurité est une préoccupation cruciale qui, si elle n’est pas maîtrisée, pourrait dévaster votre entreprise.

Une cyberattaque se produit lorsqu’un acteur menaçant avec une intention malveillante exploite les vulnérabilités de votre système. Les attaques visent souvent à voler, modifier, désactiver, détruire ou accéder à des actifs non autorisés. Aujourd’hui, presque toutes les entreprises modernes travaillent avec des réseaux d’ordinateurs qui facilitent le travail. Bien que les avantages soient évidents avec les équipes qui font évoluer la production, il existe un risque de sécurité associé.

Cet article est une analyse détaillée des attaques de smurfing dans le domaine de la cybersécurité, des attaques visant à refuser aux utilisateurs l’accès aux serveurs, notamment en utilisant le volume. Les attaquants utilisent un volume considérable de requêtes rendant un réseau particulier inutile. Plongeons dedans.

Un bref aperçu des attaques DoS

Et juste avant de tout savoir sur les attaques smurf, vous devez comprendre le concept de déni de service (DoS) et de déni de service distribué (DDoS).

Les attaques DDoS ou DoS visent à rendre les ressources de votre réseau indisponibles pour les utilisateurs légitimes. Cette intrusion se fait en attaquant votre réseau à partir de plusieurs points à travers celui-ci. Les attaques DoS ont plusieurs classifications, comme indiqué ci-dessous :

  • Attaques par inondation – Dans ce type d’attaque, de gros volumes de données sont envoyés à vos systèmes via plusieurs appareils compromis appelés zombies ou bots. Les attaques par inondation impliquent le protocole de transfert hypertexte (HTTP), le protocole de datagramme utilisateur (UDP), le protocole de message de contrôle Internet (ICMP) ou le protocole d’initiation de session (SIP).
  • Attaques d’amplification – Dans cette attaque, les bots envoient des messages à une adresse IP diffusée sélectionnée. La logique sous-jacente est que tous les systèmes du sous-réseau exploités par l’adresse divulguée envoient une réponse à votre système. Les types les plus courants d’attaques par amplification DoS sont le fraggle et le smurf.
  • Attaques Coremelt – À cette occasion, le pirate divise les bots en deux groupes. Le pirate ordonne aux robots de communiquer avec un autre groupe, ce qui entraîne l’envoi et la réception de grandes quantités de données. Si la communication réussit, il est difficile de suivre cette attaque à travers des paquets légitimes. Ce qui se passe, c’est que l’attaquant cible l’hôte et que les zombies communiquent pour créer une inondation dans le réseau. Les gros paquets sont acheminés vers la même adresse IP, la même destination et le même numéro de port, ce qui écrase le système.
  • Attaques TCP SYN – Dans ce type d’attaque, les pirates utilisent les vulnérabilités de sécurité du protocole de contrôle de transmission (TCP) en envoyant de nombreuses requêtes SYN au serveur. Par exemple, un serveur peut répondre à une demande en envoyant des paquets SYN et accusé de réception (ACK) et attendre l’ACK du client. Si l’attaquant n’envoie pas le paquet ACK, le serveur attend toujours un ack inexistant. Étant donné que la file d’attente de la mémoire tampon est limitée, le serveur est submergé et toutes les autres demandes valides entrantes sont rejetées.
  • Attaques de serveur d’authentification – Dans ce type d’attaque, les serveurs d’authentification recherchent la fausse signature de l’attaquant et consomment plus de ressources qu’ils ne le devraient pour générer les signatures.
  • Attaques de requête CGI – L’attaquant envoie de grandes requêtes d’interface de passerelle commune (CGI), en utilisant vos cycles et ressources CPU.

    • Qu’est-ce qu’une attaque Schtroumpf ?

    Les attaques de Schtroumpf sont toutes basées sur la submersion de votre ordinateur à des degrés inopérants.

    Une attaque smurf est une attaque DDoS qui submerge votre réseau avec des volumes élevés de requêtes. Une attaque smurf envoie un flot de requêtes ICPM (Internet Control Message Protocol) à votre réseau ciblé en exploitant les vulnérabilités IP, en le ralentissant progressivement et en arrêtant finalement tous les appareils fonctionnant sur le réseau.

    En cas de succès d’une attaque smurf contre votre entreprise, votre organisation pourrait perdre des revenus importants. D’autres fois, l’impact peut être constaté en fermant des services particuliers, en perturbant les visiteurs de votre site Web ou en détournant le trafic vers des sites concurrents. Dans le pire des cas, les attaques smurf peuvent dissimuler des menaces plus graves comme le vol de données et de propriété intellectuelle.

    La dénomination d’attaque Schtroumpf provient d’un outil d’exploitation appelé smurf dans les années 1990. L’outil a créé de petits paquets ICPM qui ont abattu de manière inattendue de grandes cibles – tout comme dans le dessin animé populaire « Les Schtroumpfs ».

    Types d’attaques de Schtroumpfs

    Il existe deux variantes d’attaques de smurf classées selon la sophistication de leur exécution, la basique et la plus avancée.

    #1. Basique

    Dans ce cas, l’attaque frappe le réseau ciblé avec des demandes d’écho ICMP illimitées. Les demandes sont ensuite acheminées vers tous les appareils connectés à ce serveur de réseau en invitant des réponses. Par conséquent, le volume de réponse est élevé pour correspondre à toutes les demandes entrantes et submerge ainsi le serveur.

    #2. Avancé

    Les attaques de smurf avancées s’appuient sur les attaques de base en configurant les sources et répondent ainsi aux victimes tierces. Ici, le pirate étend son vecteur d’attaque, ciblant de plus grands groupes de victimes et des réseaux à plus grande échelle.

    Comment fonctionnent les attaques de Schtroumpf

    Les attaques smurf se produisent de la même manière que les attaques ping, qui sortent du cadre de cet article, compte tenu de leurs techniques d’exécution. Cependant, la principale différence est perceptible dans la fonctionnalité cible de l’exploit.

    En règle générale, dans les attaques smurf, le pirate envoie des demandes d’écho ICPM sur les réponses automatisées du serveur. L’exécution est effectuée à une bande passante plus large que la couverture de portée prédéterminée de la zone cible. Voici une ventilation technique des étapes d’attaque smurf pour vous aider à comprendre comment elles fonctionnent :

  • La première étape consiste à générer de fausses requêtes d’écho avec des adresses IP sources usurpées via des logiciels malveillants smurf. L’adresse IP usurpée est l’adresse du serveur cible. Les demandes d’écho sont développées à partir de sources conçues par des attaquants, de fausses sources sous couvert de légitimité.
  • La deuxième étape consiste à envoyer des demandes à l’aide d’un réseau de diffusion IP intermédiaire.
  • La troisième étape consiste à transmettre les demandes à tous les hôtes du réseau.
  • Ici, les hôtes envoient des réponses ICMP à l’adresse cible.
  • Le serveur est arrêté à l’étape finale s’il existe suffisamment de réponses ICMP entrantes.

    • Ensuite, nous comprendrons la différence entre les attaques Schtroumpf et DDoS.

    Schtroumpf contre les attaques DDoS

    Comme vous l’avez vu, les attaques smurf impliquent d’inonder un réseau de paquets ICMP. Le modèle d’attaque peut être comparé à la façon dont un groupe peut faire beaucoup de bruit en criant à l’unisson. Si vous êtes enthousiaste, rappelez-vous que les attaques smurf sont une sous-branche de la catégorie des attaques DDoS. D’autre part, le déni de service distribué (DDoS) est une attaque réseau qui consiste à inonder un réseau cible avec du trafic provenant de différentes sources.

    La principale différence est que les attaques smurf s’exécutent en envoyant de nombreuses requêtes d’écho ICMP à l’adresse de diffusion d’un réseau, tandis que les attaques DDoS s’exécutent en submergeant le réseau de trafic, généralement à l’aide de botnets.

    Attaques Schtroumpf contre Fraggle

    Les attaques Fraggle sont une variante des attaques smurf. Alors que les attaques smurf impliquent des requêtes d’écho ICMP, les attaques Fraggle envoient des requêtes UDP (User Datagram Protocol).

    Malgré leurs méthodes d’attaque uniques, ils ciblent les vulnérabilités IP et obtiennent des résultats similaires. Et pour vous éclairer, vous pouvez utiliser les mêmes techniques de prévention abordées plus loin dans le post pour éviter le duel.

    Conséquences des attaques de Schtroumpfs

    #1. Perte de revenus

    Lorsque le réseau est ralenti ou arrêté, une partie importante des opérations de votre organisation est interrompue pendant un certain temps. Et lorsque les services ne sont pas disponibles, les revenus qui auraient pu être générés sont perdus.

    #2. Perte de données

    Vous ne seriez pas surpris si le pirate vole des informations pendant que vous et votre équipe gérez l’attaque DoS.

    #3. Dégâts de réputation

    Vous souvenez-vous des clients en colère qui comptaient sur vos services ? Ils pourraient cesser d’utiliser votre produit lors d’événements tels que l’exposition de données sensibles.

    Comment se protéger contre les attaques de Schtroumpfs

    Concernant la protection contre les attaques de smurfs, nous avons regroupé les mesures en plusieurs sections ; identifier les signes, les meilleures pratiques de prévention, les critères de détection et les solutions d’atténuation des attaques. Continuer à lire.

    Les signes d’attaques de Schtroumpfs

    Parfois, votre ordinateur peut contenir le logiciel malveillant smurf, qui reste inactif jusqu’à ce que le pirate l’active. Cette nature fait partie des facteurs limitants qui rendent difficile la détection des attaques de smurfs. Que vous soyez propriétaire d’un site Web ou visiteur, le signe le plus notable d’une attaque de smurf que vous rencontrerez est la réponse lente ou l’inopérabilité du serveur.

    Cependant, il est préférable de noter qu’un réseau peut s’arrêter pour de nombreuses raisons. Donc, vous ne devriez pas simplement tirer des conclusions. Creusez profondément dans votre réseau pour découvrir l’activité malveillante à laquelle vous êtes confronté. Si vous pensez que vos ordinateurs et leurs réseaux sont infectés par des logiciels malveillants, consultez le meilleur antivirus gratuit pour protéger votre PC.

    Comment prévenir les attaques de Schtroumpfs

    Bien que les attaques de smurf soient des techniques anciennes, elles sont efficaces. Ils sont cependant difficiles à détecter, ce qui nécessite des stratégies pour s’en prémunir. Voici quelques pratiques que vous pouvez adopter pour éloigner les attaques de schtroumpfs.

  • Désactivation de la diffusion IP – Les attaques Smurf s’appuient fortement sur cette fonctionnalité pour élargir la zone d’attaque car elle envoie des paquets de données à tous les appareils d’un réseau particulier.
  • Configuration des hôtes et des routeurs – Comme mentionné précédemment, les attaques smurf militarisent les demandes d’écho ICMP. La meilleure pratique consiste à configurer vos hôtes et routeurs pour ignorer ces demandes.
  • Développez votre bande passante – Il serait préférable d’avoir suffisamment de bande passante pour gérer tous les pics de trafic, même en cas d’activité malveillante.
  • Créer une redondance – Assurez-vous de répartir vos serveurs sur de nombreux centres de données pour disposer d’un excellent système d’équilibrage de charge pour la distribution du trafic. Si possible, faites en sorte que les centres de données couvrent différentes régions du même pays. Vous pouvez même les connecter sur d’autres réseaux.
  • Protégez vos serveurs DNS – Vous pouvez migrer vos serveurs vers des fournisseurs DNS basés sur le cloud, en particulier ceux conçus avec des capacités de prévention DDoS.
  • Créer un plan – Vous pouvez établir une stratégie détaillée de réponse aux attaques smurf couvrant tous les aspects de la gestion d’une attaque, y compris les techniques de communication, d’atténuation et de récupération. Prenons un exemple. Supposons que vous dirigez une organisation et qu’un pirate attaque votre réseau et vole des données. Arriverez-vous à faire face à la situation ? Avez-vous des stratégies en place?
  • Évaluation des risques – Établissez une routine dans laquelle vous auditez régulièrement les appareils, les serveurs et le réseau. Assurez-vous d’avoir une connaissance approfondie des forces et des vulnérabilités de votre réseau, à la fois des composants matériels et logiciels, à utiliser comme éléments de base de la qualité et des stratégies que vous employez pour créer votre plan.
  • Segmentez votre réseau – Si vous séparez vos systèmes, il y a peu de chances que votre réseau soit inondé.

    • Vous pouvez également configurer votre pare-feu pour rejeter les pings en dehors de votre réseau. Envisagez d’investir dans un nouveau routeur avec ces configurations par défaut.

    Comment détecter les attaques de Schtroumpfs

    Avec vos connaissances nouvellement acquises, vous avez déjà exécuté des mesures de prévention des schtroumpfs. Et ce n’est pas parce que ces mesures existent que les pirates arrêtent d’attaquer vos systèmes. Vous pouvez intégrer un administrateur réseau pour surveiller votre réseau en utilisant son expertise.

    Un administrateur réseau aide à identifier les signes rarement observables. Alors qu’en cas d’attaque, ils peuvent gérer les routeurs, les serveurs en panne et les bandes passantes, tandis que le support s’occupe de gérer les conversations avec les clients en cas de défaillance du produit.

    Comment atténuer les attaques de Schtroumpfs

    Parfois, un pirate peut réussir à lancer une attaque malgré toutes vos précautions. Dans ce scénario, la requête sous-jacente est de savoir comment arrêter l’attaque Schtroumpf. Il ne nécessite aucun mouvement flashy ou compliqué; Ne t’inquiètes pas.

    Vous pouvez atténuer les attaques smurf à l’aide de fonctions combinées qui filtrent entre les pings, les demandes de paquets ICMP et une méthode de surprovisionnement. Cette combinaison vous permet, en tant qu’administrateur réseau, d’identifier d’éventuelles requêtes provenant de sources usurpées et de les effacer tout en assurant le fonctionnement normal du serveur.

    Voici les protocoles de dommages que vous pouvez utiliser en cas d’attaque :

  • Restreignez immédiatement l’infrastructure ou le serveur attaqué pour refuser les requêtes de n’importe quel framework de diffusion. Cette approche vous permet d’isoler votre serveur, lui donnant le temps d’éliminer la charge.
  • Reprogrammez l’hôte pour vous assurer qu’il ne répond pas aux demandes de menaces perçues.

    • Derniers mots

    Diriger une entreprise nécessite de porter une attention particulière à la cybersécurité pour ne subir ni violation de données ni perte financière. Avec de nombreuses menaces de cybersécurité, la prévention est la meilleure stratégie pour protéger votre entreprise.

    Et bien que les attaques par schtroumpf ne constituent pas la menace de cybersécurité la plus urgente, comprendre le schtroumpf pourrait vous permettre de mieux comprendre comment contrer des attaques DoS similaires. Vous pouvez utiliser toutes les techniques de sécurité décrites dans cet article.

    Comme vous l’avez vu, la sécurité globale du réseau peut n’être pleinement efficace que contre certaines attaques de cybersécurité ; nous devons bien comprendre la menace que nous prévenons pour utiliser les meilleurs critères.

    Ensuite, consultez Phishing attack 101 : comment protéger votre entreprise.