Smurf-атаки на сайты Винницы

Smurf-атаки на сайты Винницы, также известные как атаки направленной трансляцией, являются другой чрезвычайно популярной формой пакетных наводнений DoS. Названные по имени известного инструмента, который реализует этот прием, Smurf-атаки полагаются на направленную трансляцию, чтобы создать для жертвы наводнение трафиком.

Сайты Винницы имеют IP-адрес, который состоит из двух компонентов: адреса сети и адреса узла. Если узловая часть IP-адреса имеет двоичное значение со всеми единицами, то пакет предназначен для трансляции IP- адреса сети. Например, если сетевой IP-адрес равен 10.1.0.0 с маской подсети 255.255.0.0, то транслируемый IP-адрес для сети будет 10.1.255.255. Два числа «255» свидетельствуют, что узловая часть адреса состоит из 16 последовательных единиц, таким образом указывая, что это сообщение предназначено для трансляции по сети IP-адреса. Когда такой пакет послан в ЛВС, маршрутизатор, соединяющий данную ЛВС с внешним миром, получит его первым. Маршрутизатор преобразует адреса третьего уровня (IP) в адреса второго уровня (MAC), отправляя этот пакет всем системам в ЛВС с помощью МАС-адреса FF:FF:FF:FF:FF:FF, составленного из единиц. Ethernet-сообщение на МАС-адрес из всех единиц, посланное в ЛВС, заставит каждую машину в ЛВС-адресате прочитать данное сообщение и ответить на него.

Рассмотрим обычный ping, ICMP-пакет «эхо-запроса». Пользователь может передать ping на трансляционный IP-адрес любого из сайтов Винницы. Если маршрутизатор в сети адресата разрешает направленную трансляцию, он преобразует ping-пакет трансляции IP-уровня в трансляцию МАС-уровня таким образом, что все системы в ЛВС адресата его получат. После принятия этого сообщения все активные машины в ЛВС адресата посылают ping-ответ. Отправляя одиночный пакет, мы можем получить много ответных пакетов (один от каждого компьютера в сети адресата, которая включает десятки, сотни или тысячи машин). Теперь предположим, что начальный ping-запрос к сетевому трансляционному адресу радиопередачи имел подмененный IP-адрес источника. Все ping-ответы от всех машин сети будут направлены к очевидному источнику такого пакета, то есть на подмененный адрес. С ростом количества машин в сети, разрешающей направленную трансляцию, увеличивается и количество генерируемых ответных пакетов.