Was ist eine Smurf Attack?
Smurf zählt zu den DDoS-Attacken (Distributed Denial of Service) auf Netzwerke, die mit Pings arbeiten. Das Smurf-Programm nutzt dabei Schwachstellen im Internet Protocol (IP) und Internet Control Message Protocols (ICMP) aus. Im Rahmen einer Smurf Attack sendet ein Cyberkrimineller ICMP-Datenpakete an die Broadcast-Adresse des Netzwerks.
Wie erfolgt eine Smurf Attack?
Folgende Schritte ermöglichen die Durchführung einer Smurf Attack:
- Zuerst erzeugt eine Malware ein Netzwerkpaket, das an eine falsche IP-Adresse angehängt ist (die Technik ist als Spoofing bekannt).
- In diesem Paket befindet sich eine ICMP-Ping-Nachricht, die empfangene Netzwerknoten nach einer Antwort fragt.
- Die Antworten oder „Echos“ werden dann wieder zur Netzwerk-IP zurückgeschickt, die Folge ist eine unendliche Wiederholung.
Mithilfe von IP-Spoofing wird in den IP-Header die Adresse des potenziellen Opfers als Source Adress (SA) eingetragen. In Kombination mit IP-Broadcasting, bei dem das bösartige Paket zu jeder IP-Adresse im Netzwerk verschickt wird, kann eine Smurf Attack schnell zu einem „Denial of Service“ führen. Alle Clients im Netzwerk richten ihre Antwort an die IP des Angegriffenen. Abhängig von der Anzahl an Netzwerk-Clients, kann das Opfer tausende oder mehr Antworten erhalten. In der Folge kann es zum Puffer-Überlauf oder einem Systemabsturz kommen. Ein infizierter Server kann für Stunden oder Tage lahmgelegt sein. Zusätzlich besteht die Gefahr, dass der Angreifer im Hintergrund Daten klaut.
Was schützt gegen eine Smurf Attack?
Der Smurf Trojaner kann versehentlich aus dem Internet heruntergeladen werden oder über einen infizierten E-Mail Anhang auf den eigenen Rechner gelangen. Dort bleibt das Programm in der Regel inaktiv, bis ein Remote-Anwender es aktiviert. Viele Smurfs werden gebündelt in Rootkits verbreitet, mit darin enthaltenen Backdoors verschafft sich der Angreifer Zugriff auf das System. Eine Schutzmöglichkeit ist das Deaktivieren von IP-Broadcasting auf jedem Router im Netzwerk. Ein umfassender Schutz erfordert das Beobachten des Netzwerkverkehrs und Identifizieren ungewöhnlicher Aktivitäten. Die Fraggle-Attack ist eine Variante der Smurf Attack, aber anstelle ICMP-Echo-Requests direkt an die Broadcasting-Adresse zu schicken, werden UDP-Pakete verschickt.