Читатели като вас помагат в подкрепа на MUO. Когато правите покупка чрез връзки на нашия сайт, ние може да спечелим комисионна за партньор. Прочетете още.

ICMP flood атака е тип атака за отказ на услуга (DoS), която използва протокола за контролни съобщения в Интернет (ICMP), за да затрупа целевата система със заявки. Може да се използва за насочване както към сървъри, така и към отделни работни станции.

За да се предпазите от ICMP flood атака, е важно да разберете какво представлява тя и как работи.

Какво представлява ICMP Flood атака?

ICMP flood атака, известна още като ping flood атака или smurf атака, е DDoS атака на мрежов слой (Distributed Denial of Service), при която нападателят се опитва да преодолее целево устройство, като изпраща прекомерно количество ехо заявка на протокола за контролни съобщения в Интернет (ICMP) пакети. Тези пакети се изпращат в бърза последователност, за да претоварят целевото устройство, като по този начин му попречат да обработва легитимен трафик. Този тип атака често се използва във връзка с други форми на DDoS атаки като част от многовекторна атака.

instagram viewer

Целта може да бъде сървър или мрежа като цяло. Самият обем на тези заявки може да доведе до претоварване на целта, което води до невъзможност за обработка на легитимен трафик, прекъсване на услугите или дори пълен отказ на системата.

Повечето ICMP flood атаки използват техника, наречена "спуфинг", при която атакуващият ще изпрати пакети до целта с фалшив адрес на източник, който изглежда е от доверен източник. Това прави по-трудно за целта да прави разлика между легитимен и злонамерен трафик.

Чрез спуфинг нападателят изпраща голям обем ICMP ехо заявки към целта. При постъпване на всяка заявка целта няма друга опция освен да отговори с ICMP ехо отговор. Това може бързо да претовари целевото устройство и да го накара да спре да реагира или дори да се срине.

И накрая, атакуващият може да изпрати ICMP пакети за пренасочване към целта в опит да наруши допълнително нейните таблици за маршрутизиране и да я направи неспособна да комуникира с други мрежови възли.

Как да открием ICMP Flood атака

Има определени признаци, които показват, че може да е в ход ICMP flood атака.

1. Внезапно увеличаване на мрежовия трафик

Най-честата индикация за ICMP flood атака е внезапно увеличаване на мрежовия трафик. Това често е придружено от висока скорост на пакети от един IP адрес на източник. Това може лесно да се наблюдава в инструментите за наблюдение на мрежата.

2. Необичайно висок изходящ трафик

Друга индикация за ICMP flood атака е необичайно висок изходящ трафик от целевото устройство. Това се дължи на пакетите с ехо-отговор, изпратени обратно към машината на атакуващия, които често са по-големи на брой от оригиналните ICMP заявки. Ако забележите трафик, който е много по-висок от нормалното на вашето целево устройство, това може да е признак за продължаваща атака.

3. Високи скорости на пакети от един IP адрес на източник

Машината на атакуващия често изпраща необичайно голям брой пакети от един IP адрес на източник. Те могат да бъдат открити чрез наблюдение на входящия трафик към целевото устройство и търсене на пакети, които имат изходен IP адрес с необичайно голям брой пакети.

4. Непрекъснати пикове в латентността на мрежата

Латентността на мрежата също може да бъде признак на ICMP flood атака. Тъй като машината на атакуващия изпраща все повече и повече заявки към целевото устройство, времето, необходимо на новите пакети да достигнат местоназначението си, се увеличава. Това води до непрекъснато нарастване на латентността на мрежата, което в крайна сметка може да доведе до повреда на системата, ако не бъде решено правилно.

5. Увеличаване на използването на процесора в целевата системаМакет на лаптоп, показващ високото използване на процесора от процеса на телеметрия за съвместимост на Microsoft в приложението Task Manager в Windows

Използването на процесора на целевата система също може да бъде индикация за ICMP flood атака. Тъй като все повече и повече заявки се изпращат до целевото устройство, неговият процесор е принуден да работи по-усилено, за да ги обработи всички. Това води до внезапен скок в използването на процесора, което може да накара системата да спре да реагира или дори да се срине, ако не бъде отметнато.

6. Ниска пропускателна способност за легитимен трафик

И накрая, ICMP flood атака може също да доведе до ниска пропускателна способност за легитимен трафик. Това се дължи на големия обем заявки, изпратени от машината на атакуващия, което претоварва целевото устройство и му пречи да обработва друг входящ трафик.

Защо атаката на ICMP Flood е опасна?

ICMP flood атака може да причини значителни щети на целевата система. Това може да доведе до претоварване на мрежата, загуба на пакети и проблеми със забавянето, които могат да попречат на нормалния трафик да достигне местоназначението си.

Освен това нападателят може да получи достъп до вътрешната мрежа на целта чрез експлоатиране уязвимости в сигурността на тяхната система.

Освен това, нападателят може да е в състояние да извърши други злонамерени дейности, като изпращане на големи количества непоискани данни или стартиране разпределени атаки за отказ на услуга (DDoS). срещу други системи.

Как да предотвратите ICMP Flood атака

Има няколко мерки, които могат да бъдат предприети, за да се предотврати ICMP flood атака.

  • Ограничаване на скоростта: Ограничаването на скоростта е един от най-ефективните методи за предотвратяване на ICMP flood атаки. Тази техника включва задаване на максималния брой заявки или пакети, които могат да бъдат изпратени до целево устройство в рамките на определен период от време. Всички пакети, които надвишават това ограничение, ще бъдат блокирани от защитната стена, което ще им попречи да достигнат местоназначението си.
  • Защитна стена и системи за откриване и предотвратяване на проникване: Защитни стени и Системи за откриване и предотвратяване на проникване (IDS/IPS) може също да се използва за откриване и предотвратяване на ICMP flood атаки. Тези системи са предназначени да наблюдават мрежовия трафик и да блокират всяка подозрителна дейност, като необичайно високи скорости на пакети или заявки, идващи от IP адреси с един източник.
  • Сегментиране на мрежата: Друг начин за защита срещу ICMP flood атаки е да сегментирайте мрежата. Това включва разделяне на вътрешната мрежа на по-малки подмрежи и създаване на защитни стени между тях, което може да помогне за предотвратяване на нападател да получи достъп до цялата система, ако една от подмрежите е компрометиран.
  • Проверка на адреса на източника: Проверката на адреса на източника е друг начин за защита срещу ICMP flood атаки. Тази техника включва проверка дали пакетите, идващи извън мрежата, всъщност са от адреса на източника, от който твърдят, че са. Всички пакети, които не преминат тази проверка, ще бъдат блокирани от защитната стена, което ще им попречи да достигнат местоназначението си.

Защитете системата си от ICMP Flood атаки

ICMP flood атака може да причини значителни щети на целевата система и често се използва като част от по-голяма злонамерена атака.

За щастие има няколко мерки, които можете да предприемете, за да предотвратите този тип атака, като ограничаване на скоростта, използване на защитни стени и системи за откриване и предотвратяване на проникване, сегментиране на мрежата и адрес на източник проверка. Прилагането на тези мерки може да ви помогне да гарантирате сигурността на вашата система и да я защитите от потенциални нападатели.