Эффективность амплификационной атаки зависит от сетей, которые выбраны злоумышленником в качестве «усилителей». Сети-усилители позволяют хакеру во много раз увеличить пропускную способность собственных ресурсов. Для примера рассмотрим разновидности Smurf и Fraggle. Smurf-атака пользуется ошибкой неверно сконфигурированных сетей и осуществляется посредством ICMP-протокола (Internet Control Message Protocol). Администраторы знают, что IP-протокол ненадежен по своей сути и нуждается в дополнительной надстройке, которая позволяет передавать статусную информацию и сообщения об ошибках. Именно такой надстройкой является ICMP. Всем известная команда ping использует ICMP-протокол для проверки соединения с удаленным узлом. Если узел находится на соединении, и на машине загружен стек TCP/IP, то в ответ на ping-запрос будет отослано соответствующее «эхо», опять же по ICMP-протоколу.
Такой тип атаки заключается в замене адреса отправителя ICMP-запроса адресом узла-жертвы, тогда как адресом получателя выступает широковещательный IP-адрес сети-усилителя. Если маршрутизатор этой сети воспринимает запросы по широковещательному адресу, то все машины, находящиеся за маршрутизатором, отошлют ICMP-эхо по адресу отправителя, указанного в запросе. Напомним, что адрес реального отправителя, которым является взломщик, был заменен на адрес узла-жертвы. Обратимся к сценарию, в котором в качестве усилителя выступает сеть из пятидесяти машин с адресами из промежутка 192.0.1.1-192.0.1.254 (маска сети 255.255.255.0). Допустим, что все машины из этой сети вынуждены ответить на широковещательный ICMP-запрос, который можно отправить, используя следующую команду: Единственная команда приведет к тому, что клиентская машина получит пятьдесят ICMP-ответов. Другими словами, первоначальное сообщение усиливается в 50 раз! Что это означает в контексте Smurf-нападения? Каждый компьютер неправильно сконфигурированной сети вынужден послать ICMP-ответ на узел-жертву, чей адрес указан в полученном запросе. Итак, если широковещательный адрес покрывает 200 компьютеров, то атакуемый узел получит сообщение хакера, усиленное в 200 раз (рис. 2.2). Заметьте, в нашем простом примере взломщик использует всего один усилитель, тогда как на практике можно воспользоваться несколькими такими сетями, что кроме всего прочего сильно затруднит фильтрацию приходящих на атакуемую машину ICMP-ответов.
