SICHERHEITSDEFINITION
Ein Smurf-Angriff ist eine besondere Form einer DDoS-Attacke (Distributed Denial-of-Service), bei der Computernetzwerke kurzzeitig unbrauchbar gemacht werden. Das Smurf-Programm erreicht dies, indem es Schwachstellen im Internet Protocol (IP) und den Internet Control Message Protocols (ICMP) ausnutzt.
Ein Smurf-Angriff erfolgt in folgenden Schritten:
- Zunächst erstellt die Malware ein Netzwerkpaket, das an eine gefälschte IP-Adresse angehängt wird. Diese Technik wird als „Spoofing“ bezeichnet.
- In diesem Paket befindet sich eine ICMP-Ping-Nachricht, die Netzwerk-Nodes dazu auffordert, nach Erhalt des Pakets eine Antwort zurückzusenden.
- Diese Antworten (auch als „Echos“ bezeichnet) werden dann wieder an die entsprechenden IP-Adressen zurückgesendet, wodurch ein unendlicher Kreislauf entsteht.
Aufgrund der Kombination mit IP-Broadcasting, bei dem das schädliche Paket an jede IP-Adresse im Netzwerk gesendet wird, kann der Smurf-Angriff schnell einen umfassenden Denial-of-Service verursachen.
Übertragung und Auswirkungen des Smurf-Angriffs
Der Smurf- Trojaner kann versehentlich von einer unverifizierten Webseite oder über einen infizierten E-Mail-Link heruntergeladen werden. Üblicherweise bleibt das Programm auf dem Computer inaktiv, bis es von einem Remote-Benutzer aktiviert wird. Dementsprechend treten viele Smurf-Angriffe in Verbindung mit Rootkits auf, mit denen Hacker Backdoors für den einfachen Systemzugriff erstellen können. Eine Möglichkeit, gegen Smurf-Angriffe vorzugehen, ist es, die IP-Broadcast-Adressierung auf jedem Netzwerk-Router zu deaktivieren. Diese Funktion wird ohnehin nur selten genutzt, und ihre Deaktivierung sorgt dafür, dass der Angriff das Netzwerk nicht überlasten kann.
Wenn ein Smurf-DDoS-Angriff erfolgreich ist, kann er Unternehmensserver stunden- oder gar tagelang lahmlegen und so zu viel Kundenfrust und Umsatzverlust führen. Darüber hinaus können solche Angriffe auch als Ablenkung für noch schädlichere Aktivitäten genutzt werden, wie z. B. den Diebstahl von Dateien oder geistigem Eigentum. Um sich vor Smurf- und ähnlichen DDoS-Angriffen zu schützen, ist eine zuverlässige Präventionsstrategie erforderlich, die die Überwachung von Netzwerkverkehr auf Anomalien, wie z. B. Paketmenge, -verhalten und -signatur, umfasst. Denn viele Bots weisen spezifische Eigenschaften auf, anhand derer der richtige Sicherheitsservice die Smurf- oder DDoS-Attacke aufhalten kann, noch bevor sie beginnt.
Empfohlene Schutzmaßnahmen
Der Smurf-Angriff lässt aufgrund seines Namens – „Smurf“ ist das englische Wort für „Schlumpf“ – auf eine harmlose Bedrohung schließen, verursacht jedoch echte Risiken, wenn die Server überlastet werden. Deaktiviertes IP-Broadcasting und zuverlässige Erkennungstools reduzieren die Wahrscheinlichkeit und die Auswirkungen eines solchen Angriffs. Im Folgenden finden Sie einige Schritte, mit denen Sie sich vor Smurf-Angriffen schützen können:
- Blockieren Sie im Netzwerk eingehenden gerichteten Broadcast-Verkehr.
- Konfigurieren Sie Hosts und Router so, dass sie nicht auf ICMP-Echo-Anfragen reagieren.
Eine Abwandlung der Smurf-Attacke stellt der Fraggle-Angriff dar. Dieser erfolgt im Grunde wie eine Smurf-Attacke, jedoch werden anstelle der ICMP-Echo-Anfragen UDP-Pakete an die Broadcast-Adresse gesendet. Der Fraggle-Angriff lässt sich über dieselben Methoden verhindern.