ICMP potvynių ataka yra paslaugų atsisakymo (DoS) ataka, kuri naudoja interneto valdymo pranešimų protokolą (ICMP), kad užvaldytų tikslinę sistemą užklausomis. Jis gali būti naudojamas nukreipti tiek į serverius, tiek į atskiras darbo vietas.
Norint apsisaugoti nuo ICMP potvynių atakos, svarbu suprasti, kas tai yra ir kaip jis veikia.
Kas yra ICMP potvynių ataka?
ICMP potvynių ataka, dar žinoma kaip ping potvynio ataka arba smurf ataka, yra tinklo lygmens DDoS (Distributed Denial of Service) ataka, kurios metu užpuolikas bando įveikti tikslinį įrenginį siųsdamas per daug interneto valdymo pranešimų protokolo (ICMP) aido užklausos paketai. Šie paketai siunčiami greitai iš eilės, kad būtų perkrautas tikslinis įrenginys ir taip neleidžiama apdoroti teisėto srauto. Šio tipo ataka dažnai naudojama kartu su kitos DDoS atakų formos kaip kelių vektorių atakos dalis.
Tikslas gali būti serveris arba visas tinklas. Dėl didžiulio šių užklausų skaičiaus taikinys gali būti perpildytas, dėl to negalės apdoroti teisėto srauto, gali sutrikti paslaugų teikimas ar net visiškas sistemos gedimas.
Daugumoje ICMP potvynių atakų naudojama technika, vadinama „klastojimu“, kai užpuolikas siųs paketus į taikinį su suklastotu šaltinio adresu, kuris atrodo iš patikimo šaltinio. Dėl to taikiniui sunkiau atskirti teisėtą ir kenkėjišką srautą.
Apgaulės būdu užpuolikas siunčia taikiniui didelį kiekį ICMP aido užklausų. Kai gaunama kiekviena užklausa, taikinys neturi kito pasirinkimo, kaip tik atsakyti su ICMP aido atsaku. Tai gali greitai perkrauti tikslinį įrenginį ir nereaguoti arba net sugesti.
Galiausiai, užpuolikas gali nusiųsti ICMP peradresavimo paketus į taikinį, bandydamas toliau sutrikdyti maršruto lenteles ir neleisti jam susisiekti su kitais tinklo mazgais.
Kaip aptikti ICMP potvynio ataką
Yra tam tikrų požymių, rodančių, kad ICMP potvynis gali būti įvykdytas.
1. Staigus tinklo srauto padidėjimas
Dažniausias ICMP potvynio atakos požymis yra staigus tinklo srauto padidėjimas. Tai dažnai lydi didelis paketų greitis iš vieno šaltinio IP adreso. Tai galima lengvai stebėti tinklo stebėjimo įrankiais.
2. Neįprastai didelis išeinantis srautas
Kitas ICMP potvynio atakos požymis yra neįprastai didelis srautas iš tikslinio įrenginio. Taip yra dėl to, kad aido atsako paketai siunčiami atgal į užpuoliko įrenginį, kurių skaičius dažnai yra didesnis nei pradinių ICMP užklausų. Jei jūsų tiksliniame įrenginyje pastebite daug didesnį srautą nei įprastai, tai gali būti vykstančios atakos ženklas.
3. Dideli paketų tarifai iš vieno šaltinio IP adreso
Užpuoliko aparatas dažnai išsiųs neįprastai daug paketų iš vieno šaltinio IP adreso. Juos galima aptikti stebint į tikslinį įrenginį gaunamą srautą ir ieškant paketų, kurių šaltinio IP adresas yra neįprastai didelis paketų skaičius.
4. Nuolatiniai tinklo delsos šuoliai
Tinklo delsa taip pat gali būti ICMP potvynio atakos požymis. Kai užpuoliko mašina siunčia vis daugiau užklausų į tikslinį įrenginį, laikas, per kurį nauji paketai pasiekia paskirties vietą, ilgėja. Dėl to nuolat didėja tinklo delsa, kuri galiausiai gali sukelti sistemos gedimą, jei nebus tinkamai sprendžiama.
5. Padidėjęs procesoriaus panaudojimas tikslinėje sistemoje
Tikslinės sistemos procesoriaus panaudojimas taip pat gali būti ICMP potvynio atakos požymis. Kadangi vis daugiau užklausų siunčiama į tikslinį įrenginį, jo centrinis procesorius yra priverstas dirbti daugiau, kad jas visas apdorotų. Tai sukelia staigų procesoriaus panaudojimo šuolį, dėl kurio sistema gali nereaguoti arba net sugesti, jei ji nebus pažymėta.
6. Mažas teisėto srauto pralaidumas
Galiausiai, ICMP potvynių ataka taip pat gali sukelti mažą teisėto srauto pralaidumą. Taip yra dėl didžiulio užklausų skaičiaus, kurį siunčia užpuolikas, kuris užvaldo tikslinį įrenginį ir neleidžia jam apdoroti jokio kito gaunamo srauto.
Kodėl ICMP potvynių ataka yra pavojinga?
ICMP potvynių ataka gali padaryti didelę žalą tikslinei sistemai. Tai gali sukelti tinklo perkrovą, paketų praradimą ir delsos problemas, kurios gali trukdyti įprastam srautui pasiekti paskirties vietą.
Be to, užpuolikas gali gauti prieigą prie taikinio vidinio tinklo išnaudodamas jų sistemos saugumo spragas.
Išskyrus tai, užpuolikas gali atlikti kitą kenkėjišką veiklą, pvz., siųsti didelius kiekius nepageidaujamų duomenų arba paleisti paskirstytos paslaugų atsisakymo (DDoS) atakos prieš kitas sistemas.
Kaip užkirsti kelią ICMP potvynių atakai
Yra keletas priemonių, kurių galima imtis siekiant užkirsti kelią ICMP potvyniui.
- Normos ribojimas: greičio ribojimas yra vienas veiksmingiausių būdų užkirsti kelią ICMP potvynių atakoms. Ši technika apima didžiausio užklausų arba paketų, kurie gali būti išsiųsti į tikslinį įrenginį per tam tikrą laikotarpį, skaičių. Bet kokie paketai, viršijantys šią ribą, bus užblokuoti ugniasienės, neleisdami jiems pasiekti paskirties vietos.
- Ugniasienė ir įsibrovimų aptikimo ir prevencijos sistemos: ugniasienės ir Įsibrovimų aptikimo ir prevencijos sistemos (IDS / IPS) taip pat gali būti naudojamas aptikti ir užkirsti kelią ICMP potvynių atakoms. Šios sistemos skirtos stebėti tinklo srautą ir blokuoti bet kokią įtartiną veiklą, pvz., neįprastai aukštą paketų spartą arba užklausas iš vieno šaltinio IP adresų.
- Tinklo segmentavimas: Kitas būdas apsisaugoti nuo ICMP potvynių atakų yra segmentuoti tinklą. Tai apima vidinio tinklo padalijimą į mažesnius potinklius ir užkardų tarp jų sukūrimą, kuris gali padėti užkirsti kelią užpuolikui prieiti prie visos sistemos, jei yra vienas iš potinklių susikompromitavo.
- Šaltinio adreso patvirtinimas: Šaltinio adreso patikrinimas yra dar vienas būdas apsisaugoti nuo ICMP potvynių atakų. Šis metodas apima patikrinimą, ar paketai, gaunami iš už tinklo ribų, iš tikrųjų yra iš šaltinio adreso, iš kurio jie teigia esantys. Visi paketai, kuriems nepavyks patikrinti šio patikrinimo, bus užblokuoti ugniasienės, todėl jie negalės pasiekti paskirties vietos.
Apsaugokite savo sistemą nuo ICMP potvynių atakų
ICMP potvynių ataka gali padaryti didelę žalą tikslinei sistemai ir dažnai naudojama kaip didesnės kenkėjiškos atakos dalis.
Laimei, yra keletas priemonių, kurių galite imtis, kad išvengtumėte tokio tipo atakų, pvz., greičio ribojimas, naudojant ugniasienes ir įsibrovimų aptikimo ir prevencijos sistemas, tinklo segmentavimą ir šaltinio adresą patikrinimas. Šių priemonių įgyvendinimas gali padėti užtikrinti jūsų sistemos saugumą ir apsaugoti ją nuo galimų užpuolikų.
