Kwalifikacje w Zawodzie - Testy zawodowe online | Egzaminy Zawodowe

KWALIFIKACJA INF2 - STYCZEŃ 2014



PYTANIE NR 40.
Aby zabezpieczyć lokalną sieć komputerową przed atakami typu Smurf z sieci Internet należ) zainstalować i odpowiednio skonfigurować
A.
B.
C.
D.
Wyjaśnienie poprawnej odpowiedzi:
Atak Smurf wykorzystuje ICMP i adresy rozgłoszeniowe: napastnik wysyła echo request na broadcast ze sfałszowanym adresem ofiary, a wiele hostów odsyła odpowiedzi do ofiary, powodując przeciążenie.
Zapora ogniowa na brzegu sieci może filtrować ICMP, blokować ruch do broadcast oraz stosować reguły anti-spoofing.

Pełne wyjaśnienie:

Atak Smurf to odmiana ataku DoS/DDoS wykorzystująca mechanizm amplifikacji w protokole ICMP. Atakujący wysyła pakiety ICMP echo request na adres rozgłoszeniowy (broadcast) danej sieci, ale jako adres źródłowy wpisuje (spoofuje) adres IP ofiary. Skutek jest mnożnikowy: wiele urządzeń w sieci odpowiada pakietami echo reply nie do nadawcy, lecz do ofiary, co może przeciążyć łącze lub zasoby hosta.

Najbardziej adekwatnym środkiem ochrony "od strony Internetu" jest zapora ogniowa (oraz zwykle funkcje zapory/routera brzegowego), ponieważ działa w warstwie sieciowej i może:

  • filtrować lub ograniczać ruch ICMP przychodzący z sieci zewnętrznych (np. echo request),
  • blokować pakiety kierowane do adresów broadcast/directed broadcast,
  • egzekwować reguły anti-spoofing (ingress/egress filtering), aby redukować ruch z fałszywymi adresami źródłowymi,
  • rejestrować i wykrywać anomalie (nagłe skoki ICMP), co ułatwia reakcję na incydent.

Pozostałe propozycje są nieadekwatne do mechanizmu ataku. Skaner antywirusowy chroni głównie przed złośliwym oprogramowaniem na stacjach/serwerach (plikami, procesami), a nie przed przeciążeniem łącza ruchem ICMP z Internetu. Oprogramowanie antyspamowe dotyczy filtracji poczty, więc nie rozwiązuje problemu ruchu sieciowego typu broadcast/ICMP. Bezpieczna przeglądarka WWW wzmacnia bezpieczeństwo użytkownika w kontekście stron i skryptów, ale nie jest narzędziem do kontroli ruchu na granicy sieci.

W praktyce całkowite blokowanie ICMP bywa błędem administracyjnym (utrudnia diagnostykę), dlatego typowo stosuje się reguły selektywne: ograniczanie konkretnych typów ICMP, limitowanie (rate limiting), logowanie oraz poprawną konfigurację urządzeń brzegowych, w tym wyłączanie obsługi directed broadcast.

Dodatkowe pytania

Dodatkowe pytania (FAQ):
Co to jest atak Smurf w sieciach komputerowych?
Atak Smurf to atak DoS/DDoS z użyciem ICMP, który wykorzystuje adresy rozgłoszeniowe. Napastnik wysyła echo request na broadcast, podszywając się pod ofiarę, a wiele hostów odsyła odpowiedzi do ofiary, powodując amplifikację i przeciążenie.
Dlaczego zapora ogniowa chroni przed atakiem Smurf?
Zapora ogniowa działa na styku LAN–Internet i może kontrolować ruch warstwy sieciowej. Pozwala blokować lub ograniczać ICMP, odrzucać pakiety kierowane na broadcast/directed broadcast oraz stosować reguły anti-spoofing. Dzięki temu zmniejsza możliwość amplifikacji i przeciążenia ofiary.
Jakie pakiety ICMP są wykorzystywane w ataku Smurf?
W Smurf typowo wykorzystuje się ICMP echo request (żądanie) wysyłane na broadcast z fałszywym adresem źródłowym ofiary. Następnie liczne urządzenia generują ICMP echo reply (odpowiedzi) i kierują je do ofiary, zwiększając natężenie ruchu.
Czy antywirus wystarczy do ochrony przed DDoS typu Smurf?
Nie. Antywirus chroni głównie przed złośliwymi plikami i procesami na hostach, a atak Smurf to przeciążenie ruchem sieciowym ICMP. Nawet najlepszy antywirus nie zatrzyma nadmiarowego ruchu na łączu. Do tego potrzebne są mechanizmy filtracji na firewallu/routerze.
Jakie ustawienie na routerze ogranicza ataki Smurf?
Kluczowe jest wyłączenie obsługi IP directed broadcast oraz filtrowanie ruchu, który próbuje korzystać z adresów rozgłoszeniowych. Dodatkowo stosuje się filtrowanie ingress/egress (anti-spoofing), aby ograniczyć pakiety z fałszywymi adresami źródłowymi.
Dlaczego całkowite blokowanie ICMP na firewallu bywa złe?
ICMP służy też do diagnostyki i poprawnego działania sieci (np. komunikaty o błędach, testy łączności). Całkowita blokada może utrudnić wykrywanie problemów i diagnostykę. Lepsze jest podejście selektywne: ograniczanie wybranych typów ICMP, limitowanie i logowanie.
Jak odróżnić atak Smurf od zwykłego "pingu" w logach?
W Smurf widoczny jest nienaturalnie wysoki wolumen ICMP, często z wielu adresów (odpowiedzi wielu hostów) oraz nietypowe cele, np. adresy rozgłoszeniowe. W zwykłym teście ping ruch jest ograniczony i pochodzi z jednego źródła. Pomagają też liczniki i rate limiting.
Jakie są typowe błędy na egzaminie przy pytaniach o Smurf?
Najczęściej myli się warstwy ochrony: wybiera się antywirus lub "bezpieczną przeglądarkę", bo kojarzą się z Internetem. Drugi błąd to przekonanie, że każde zagrożenie "z sieci" rozwiąże filtr poczty/antyspam. W Smurf potrzebna jest kontrola ruchu ICMP na brzegu.
Czy ataki Smurf nadal występują w nowoczesnych sieciach?
Są rzadsze niż kiedyś, bo wiele sieci ma domyślnie wyłączone directed broadcast i lepsze zabezpieczenia brzegowe. Jednak mechanizm amplifikacji i spoofingu jest nadal ważny edukacyjnie, bo podobne zasady pojawiają się w innych atakach DDoS i przy błędnej konfiguracji.
Jak przygotować się do pytań o DDoS na INF.7?
Ucz się mechanizmów ataków (ICMP, UDP, amplifikacja, spoofing) i dobierania zabezpieczeń do warstwy: firewall/router, ACL, rate limiting, IDS/IPS. Warto przećwiczyć analizę ruchu w Wireshark i podstawy reguł zapory. Na egzaminie szukaj słów kluczowych: broadcast, ICMP.
info

Około 40% zdających odpowiada poprawnie na to pytanie. trudne

Eksperci podkreślają: "Atak Smurf wykorzystuje ICMP i adresy rozgłoszeniowe: napastnik wysyła echo request na broadcast ze sfałszowanym adresem ofiary, a wiele hostów odsyła odpowiedzi do ofiary, powodując przeciążenie."

Źródła:

  • RFC 792: Internet Control Message Protocol (ICMP), IETF, https://www.rfc-editor.org/rfc/rfc792 (dostęp: 2026-03-01)
  • RFC 2827: Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing, IETF, https://www.rfc-editor.org/rfc/rfc2827 (dostęp: 2026-03-01)
  • CERT/CC Advisory CA-1998-01: Smurf IP Denial-of-Service Attacks, Carnegie Mellon University, https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=525460 (dostęp: 2026-03-01)

Materiały:

  • Dokumentacja producenta zapór/routerów dotycząca filtrowania ICMP i ochrony przed spoofingiem
  • Materiały szkoleniowe z podstaw bezpieczeństwa sieci (DoS/DDoS, amplifikacje)
  • RFC opisujące ICMP oraz dobre praktyki filtracji antyspoofing

Aktualizacja pytania: 31.03.2026

Aktualizacja pytania: 31.03.2026
📡 Brak połączenia internetowego