Záplavový útok ICMP je typ útoku DoS (denial-of-service), který využívá protokol ICMP (Internet Control Message Protocol) k zahlcení cílového systému požadavky. Lze jej použít k cílení na servery i jednotlivé pracovní stanice.
Pro ochranu před ICMP záplavovým útokem je důležité pochopit, co to je a jak funguje.
Co je povodňový útok ICMP?
ICMP záplavový útok, také známý jako ping záplavový útok nebo šmoulí útok, je útok DDoS (Distributed Denial of Service) síťové vrstvy, při kterém útočník se pokusí přemoci cílené zařízení odesláním nadměrného množství ozvěny protokolu ICMP (Internet Control Message Protocol) pakety. Tyto pakety jsou odesílány v rychlém sledu, aby přemohly cílové zařízení, a tím mu zabránily ve zpracování legitimního provozu. Tento typ útoku se často používá ve spojení s jiné formy DDoS útoků jako součást vícevektorového útoku.
Cílem může být buď server, nebo síť jako celek. Naprostý objem těchto požadavků může způsobit zahlcení cíle, což má za následek nemožnost zpracovat legitimní provoz, narušení služeb nebo dokonce úplné selhání systému.
Většina ICMP záplavových útoků používá techniku zvanou „spoofing“, kdy útočník pošle pakety do cíle s podvrženou zdrojovou adresou, která se zdá být z důvěryhodného zdroje. To ztěžuje cíli rozlišit mezi legitimním a škodlivým provozem.
Prostřednictvím spoofingu posílá útočník cíli velké množství ICMP echo požadavků. Jakmile přijde každý požadavek, cíl nemá jinou možnost než odpovědět echo odpovědí ICMP. To může rychle zahltit cílové zařízení a způsobit, že přestane reagovat nebo dokonce havaruje.
Nakonec může útočník posílat pakety přesměrování ICMP do cíle ve snaze dále narušit jeho směrovací tabulky a znemožnit mu komunikaci s jinými uzly sítě.
Jak zjistit povodňový útok ICMP
Existují určité známky, které naznačují, že může probíhat povodňový útok ICMP.
1. Náhlý nárůst síťového provozu
Nejčastějším příznakem útoku ICMP flood je náhlý nárůst síťového provozu. To je často doprovázeno vysokou rychlostí paketů z jediné zdrojové IP adresy. To lze snadno sledovat v nástrojích pro monitorování sítě.
2. Neobvykle vysoký odchozí provoz
Dalším příznakem útoku ICMP Flood je neobvykle vysoký odchozí provoz z cílového zařízení. To je způsobeno tím, že pakety s odezvou ozvěny jsou zasílány zpět na počítač útočníka, kterých je často větší počet než původní požadavky ICMP. Pokud si všimnete provozu, který je na vašem cílovém zařízení mnohem vyšší než obvykle, může to být známka probíhajícího útoku.
3. Vysoké rychlosti paketů z jediné zdrojové IP adresy
Počítač útočníka často odešle neobvykle vysoký počet paketů z jediné zdrojové IP adresy. Ty lze detekovat monitorováním příchozího provozu do cílového zařízení a hledáním paketů, které mají zdrojovou IP adresu s neobvykle velkým počtem paketů.
4. Neustálé skoky v latenci sítě
Latence sítě může být také známkou záplavového útoku ICMP. S tím, jak útočníkův stroj odesílá stále více požadavků na cílové zařízení, se zvyšuje doba, za kterou se nové pakety dostanou do cíle. To má za následek neustálý nárůst latence sítě, což může nakonec vést k selhání systému, pokud není správně řešeno.
5. Zvýšení využití CPU na cílovém systému
Využití CPU cílového systému může být také známkou útoku ICMP flood. Jak je na cílové zařízení zasíláno stále více požadavků, jeho CPU je nuceno pracovat tvrději, aby je všechny zpracovalo. To má za následek náhlý skok ve využití CPU, což může způsobit, že systém přestane reagovat nebo dokonce havaruje, pokud není zaškrtnuto.
6. Nízká propustnost pro legitimní provoz
Konečně, útok ICMP Flood může mít za následek nízkou propustnost pro legitimní provoz. To je způsobeno obrovským množstvím požadavků odeslaných útočníkovým strojem, které zahltí cílové zařízení a brání mu ve zpracování jakéhokoli dalšího příchozího provozu.
Proč je povodňový útok ICMP nebezpečný?
Útok ICMP Flood může způsobit značné poškození cílového systému. To může vést k zahlcení sítě, ztrátě paketů a problémům s latencí, které mohou bránit normálnímu provozu v dosažení cíle.
Útočníkovi se navíc může podařit získat přístup k vnitřní síti cíle zneužitím bezpečnostní zranitelnosti v jejich systému.
Kromě toho může být útočník schopen provádět další škodlivé činnosti, jako je odesílání velkého množství nevyžádaných dat nebo spouštění distribuované útoky denial-of-service (DDoS). proti jiným systémům.
Jak zabránit ICMP Flood Attack
Existuje několik opatření, která lze přijmout, aby se zabránilo povodňovému útoku ICMP.
- Omezení sazby: Omezení rychlosti je jednou z nejúčinnějších metod prevence ICMP záplavových útoků. Tato technika zahrnuje nastavení maximálního počtu požadavků nebo paketů, které lze odeslat cílovému zařízení během určitého časového období. Všechny pakety, které překročí tento limit, budou blokovány firewallem a zabrání jim v dosažení jejich cíle.
- Firewall a systémy detekce a prevence narušení: Firewally a Systémy detekce a prevence narušení (IDS/IPS) lze také použít k detekci a prevenci ICMP záplavových útoků. Tyto systémy jsou navrženy tak, aby monitorovaly síťový provoz a blokovaly jakoukoli podezřelou aktivitu, jako je neobvykle vysoká rychlost paketů nebo požadavky přicházející z jediné zdrojové IP adresy.
- Segmentace sítě: Dalším způsobem, jak se chránit před ICMP záplavovými útoky, je segmentovat síť. Jedná se o rozdělení vnitřní sítě na menší podsítě a vytvoření firewallů mezi nimi, což může pomoci zabránit útočníkovi získat přístup k celému systému, pokud je jedna z podsítí kompromitován.
- Ověření zdrojové adresy: Ověření zdrojové adresy je dalším způsobem ochrany před ICMP záplavovými útoky. Tato technika zahrnuje ověření, že pakety přicházející z vnějšku sítě jsou ve skutečnosti ze zdrojové adresy, o které tvrdí, že pocházejí. Všechny pakety, které selžou při tomto ověření, budou zablokovány bránou firewall a zabrání jim v dosažení jejich cíle.
Chraňte svůj systém před povodňovými útoky ICMP
Útok ICMP Flood může způsobit značné poškození cílového systému a je často používán jako součást většího škodlivého útoku.
Naštěstí existuje několik opatření, která můžete tomuto typu útoku zabránit, jako je omezení rychlosti, pomocí firewallů a systémů detekce a prevence narušení, segmentace sítě a zdrojové adresy ověření. Implementace těchto opatření může pomoci zajistit bezpečnost vašeho systému a chránit jej před potenciálními útočníky.