Napad ICMP flood je vrsta napada zavrnitve storitve (DoS), ki uporablja protokol za nadzorna sporočila interneta (ICMP), da preobremeni ciljni sistem z zahtevami. Uporablja se lahko za ciljanje tako na strežnike kot na posamezne delovne postaje.
Da bi se zaščitili pred napadom ICMP flood, je pomembno razumeti, kaj je in kako deluje.
Kaj je ICMP poplavni napad?
Napad ICMP flood, znan tudi kot napad ping flood ali napad smrkca, je napad omrežne plasti DDoS (Distributed Denial of Service), pri katerem napadalec poskuša premagati ciljno napravo s pošiljanjem prekomerne količine odmevne zahteve ICMP (Internet Control Message Protocol). paketi. Ti paketi se pošiljajo v hitrem zaporedju, da preobremenijo ciljno napravo in ji tako preprečijo obdelavo zakonitega prometa. Ta vrsta napada se pogosto uporablja v povezavi z druge oblike DDoS napadov kot del večvektorskega napada.
Cilj je lahko bodisi strežnik ali omrežje kot celota. Že sama količina teh zahtev lahko povzroči preobremenitev cilja, kar povzroči nezmožnost obdelave zakonitega prometa, motnje storitev ali celo popolno odpoved sistema.
Večina napadov ICMP flood uporablja tehniko, imenovano "spoofing", pri kateri napadalec pošlje pakete tarči s ponarejenim izvornim naslovom, za katerega se zdi, da izvira iz zaupanja vrednega vira. Zaradi tega cilj težje razlikuje med zakonitim in zlonamernim prometom.
S ponarejanjem napadalec tarči pošlje veliko količino odmevnih zahtev ICMP. Ko pride vsaka zahteva, cilj nima druge možnosti kot odgovor z odmevnim odgovorom ICMP. To lahko hitro preobremeni ciljno napravo in povzroči, da postane neodzivna ali se celo zruši.
Nazadnje lahko napadalec tarči pošlje preusmeritvene pakete ICMP, da bi še bolj motil njene usmerjevalne tabele in onemogočil komunikacijo z drugimi omrežnimi vozlišči.
Kako zaznati napad ICMP Flood
Obstajajo določeni znaki, ki kažejo, da je morda v teku napad ICMP poplave.
1. Nenadno povečanje omrežnega prometa
Najpogostejši znak ICMP poplavnega napada je nenadno povečanje omrežnega prometa. To pogosto spremlja visoka hitrost paketov z enega naslova IP vira. To je mogoče enostavno spremljati v orodjih za nadzor omrežja.
2. Nenavadno visok izhodni promet
Drug znak ICMP flood napada je nenavadno visok izhodni promet iz ciljne naprave. To je posledica odzivnih paketov, ki se pošiljajo nazaj v napadalčev stroj, ki jih je pogosto več kot prvotnih zahtev ICMP. Če na ciljni napravi opazite veliko večji promet od običajnega, je to lahko znak napada, ki je v teku.
3. Visoke hitrosti paketov z enega vira naslova IP
Napadalčeva naprava bo pogosto poslala nenavadno veliko število paketov z enega naslova IP vira. Te je mogoče odkriti s spremljanjem dohodnega prometa do ciljne naprave in iskanjem paketov, ki imajo izvorni naslov IP z nenavadno velikim številom paketov.
4. Nenehni skoki v omrežni zakasnitvi
Omrežna zakasnitev je lahko tudi znak ICMP poplavnega napada. Ker napadalčev stroj pošilja vedno več zahtev ciljni napravi, se čas, ki je potreben, da novi paketi dosežejo cilj, poveča. Posledica tega je nenehno povečevanje omrežne zakasnitve, ki lahko sčasoma povzroči okvaro sistema, če je ne odpravite pravilno.
5. Povečanje izkoriščenosti procesorja v ciljnem sistemu
Izkoriščenost procesorja ciljnega sistema je lahko tudi znak ICMP poplavnega napada. Ker je vse več zahtev poslanih ciljni napravi, je njen CPE prisiljen delati težje, da bi jih vse obdelal. Posledica tega je nenaden skok v izkoriščenosti procesorja, kar lahko povzroči neodzivnost sistema ali celo zrušitev, če tega ne preverite.
6. Nizka prepustnost za zakonit promet
Nazadnje, napad ICMP flood lahko povzroči tudi nizko prepustnost za zakonit promet. To je posledica ogromne količine zahtev, ki jih pošlje napadalčeva naprava, ki preobremeni ciljno napravo in ji prepreči obdelavo kakršnega koli drugega dohodnega prometa.
Zakaj je ICMP poplavni napad nevaren?
Poplavni napad ICMP lahko povzroči znatno škodo ciljnemu sistemu. Lahko povzroči prezasedenost omrežja, izgubo paketov in težave z zakasnitvijo, ki lahko preprečijo normalnemu prometu, da doseže cilj.
Poleg tega lahko napadalec z izkoriščanjem pridobi dostop do ciljnega notranjega omrežja varnostne ranljivosti v njihovem sistemu.
Razen tega lahko napadalec izvaja druge zlonamerne dejavnosti, kot je pošiljanje velikih količin nezaželenih podatkov ali zagon porazdeljeni napadi zavrnitve storitve (DDoS). proti drugim sistemom.
Kako preprečiti ICMP poplavni napad
Obstaja več ukrepov, ki jih je mogoče sprejeti, da bi preprečili napad ICMP poplave.
- Omejitev stopnje: Omejitev hitrosti je ena najučinkovitejših metod za preprečevanje poplavnih napadov ICMP. Ta tehnika vključuje nastavitev največjega števila zahtev ali paketov, ki se lahko pošljejo ciljni napravi v določenem časovnem obdobju. Vse pakete, ki presežejo to omejitev, bo požarni zid blokiral in jim preprečil, da bi dosegli cilj.
- Požarni zid ter sistemi za zaznavanje in preprečevanje vdorov: Požarni zidovi in Sistemi za zaznavanje in preprečevanje vdorov (IDS/IPS) se lahko uporablja tudi za odkrivanje in preprečevanje poplavnih napadov ICMP. Ti sistemi so zasnovani za spremljanje omrežnega prometa in blokiranje kakršnih koli sumljivih dejavnosti, kot so nenavadno visoke hitrosti paketov ali zahteve, ki prihajajo iz naslovov IP enega vira.
- Segmentacija omrežja: Drug način za zaščito pred napadi ICMP poplav je segmentiraj omrežje. To vključuje razdelitev notranjega omrežja na manjša podomrežja in ustvarjanje požarnih zidov med njimi, ki lahko pomaga preprečiti napadalcu dostop do celotnega sistema, če je eno od podomrežij ogrožena.
- Preverjanje izvornega naslova: Preverjanje izvornega naslova je še en način zaščite pred poplavnimi napadi ICMP. Ta tehnika vključuje preverjanje, ali so paketi, ki prihajajo izven omrežja, dejansko z izvornega naslova, s katerega domnevno prihajajo. Vse pakete, ki ne prestanejo tega preverjanja, bo požarni zid blokiral in jim preprečil, da bi dosegli cilj.
Zaščitite svoj sistem pred napadi ICMP Flood
Napad ICMP flood lahko povzroči znatno škodo ciljnemu sistemu in se pogosto uporablja kot del večjega zlonamernega napada.
Na srečo obstaja več ukrepov, ki jih lahko sprejmete, da preprečite to vrsto napada, na primer omejitev hitrosti, uporaba požarnih zidov in sistemov za zaznavanje in preprečevanje vdorov, segmentacija omrežja in izvorni naslov preverjanje. Izvajanje teh ukrepov lahko pomaga zagotoviti varnost vašega sistema in ga zaščiti pred morebitnimi napadalci.