Chcesz wiedzieć czym jest ICMP flood? To metoda ataku znana również jako Ping Flood, która jest jednym z podtypów ataku Denial of Service (DoS). W jego trakcie atakujący unieruchamia komputer ofiary poprzez zasypywanie go żądaniami ICMP echo, znanymi również jako pingi.
Atak jest trywialny, polega na zalaniu sieci ofiary pakietami żądań, wiedząc, że sieć odpowie taką samą liczbą pakietów odpowiedzi. Dzieje się to przy pomocy żądań ICMP, które można wygenerować masowo z użyciem narzędzi takich jak hping i scapy. Atak ICMP obciąża zarówno kanały przychodzące, jak i wychodzące sieci, zużywając znaczną część pasma i powodując odmowę usługi.
Specyficznym atakiem typu ICMP jest pewien sposób ataku na serwer internetowy za pomocą wysłania zapytania ping (ICMP Echo Request) w pakiecie IP o rozmiarze większym niż 65 535 bajtów. Tak spreparowane zapytanie jest niezgodne ze specyfikacją protokołu IP, co w starszych wersjach systemów operacyjnych powodowało błędy prowadzące do awarii systemu.
Atak tego typu znany jest jako Ping of Death.
Szczegóły ataku ICMP Flood
Zazwyczaj żądania ping są używane do testowania łączności dwóch komputerów poprzez pomiar czasu przejścia od wysłania żądania ICMP echo request do otrzymania odpowiedzi ICMP echo response. Podczas ataku są one jednak wykorzystywane do przeciążenia sieci docelowej pakietami danych. Aby przeprowadzić atak ping flood atakujący musi oczywiście znać adres IP celu. Ataki ICMP można podzielić na trzy kategorie, w zależności od celu i sposobu rozwiązywania jego adresu IP.
- Ukierunkowany lokalny ujawniony atak ping flood – jest skierowany na pojedynczy komputer w sieci lokalnej. Atakujący musi mieć fizyczny dostęp do sieci celu i znać jego adres IP. Udany atak spowoduje, że komputer docelowy zostanie wyłączony z użytku.
- Router disclosed ping flood – jest skierowany na routery w celu zakłócenia komunikacji między komputerami w sieci. Jest on uzależniony od tego, czy atakujący zna wewnętrzny adres IP lokalnego routera. Udany atak powoduje brak łączności między urządzenia podłączonymi do routera.
- Ślepy ping flood – polega na użyciu zewnętrznego programu do odkrycia adresu IP docelowego komputera lub routera przed przeprowadzeniem ataku.
Jak obronić się przed ICMP Flood
Obecnie systemy operacyjne oraz usługi oferowane przez dostawców rozwiązań w chmurze, zapewniają podstawową i skuteczną obronę przed katastrofalnymi skutkami ataku ICMP. Mimo tego, wykorzystanie całej przepustowości dostępnego pasma, może stanowić problem dla niektórych serwisów, warto więc rozważyć drożenie metod obrony takich jak:
- Skonfigurowanie zapory sieciowej w taki sposób, aby blokowała pakiety pingów ICMP przed wejściem do sieci wewnętrznej.
- Dodanie filtrów, które rozkażą routerowi wykrywać i odrzucać pakiety danych o nieprawidłowym kształcie lub pochodzące z podejrzanych źródeł.
- Przeszukiwanie pakietów spoofed, które nie pochodzą z sieci – filtrowanie egress.
- Używanie oprogramowania monitorującego sieć w celu wykrywania nietypowych wzorców ruchu.
- Regularne skanowanie sieci w poszukiwaniu otwartych portów i niepotrzebnie udostępnionych hostów oraz usług narażonych na ataki ICMP.
