Čitatelia ako vy pomáhajú podporovať MUO. Keď uskutočníte nákup pomocou odkazov na našej stránke, môžeme získať pridruženú províziu. Čítaj viac.

Záplavový útok ICMP je typ útoku DoS (denial-of-service), ktorý využíva protokol ICMP (Internet Control Message Protocol) na zaplavenie cieľového systému požiadavkami. Môže sa použiť na zacielenie na servery aj na jednotlivé pracovné stanice.

Na ochranu pred útokom ICMP Flood je dôležité pochopiť, čo to je a ako to funguje.

Čo je to povodňový útok ICMP?

ICMP záplavový útok, tiež známy ako ping záplavový útok alebo smurfový útok, je útok DDoS na sieťovej vrstve (Distributed Denial of Service), pri ktorom útočník sa pokúsi premôcť cieľové zariadenie odoslaním nadmerného množstva odozvy protokolu ICMP (Internet Control Message Protocol) pakety. Tieto pakety sa odosielajú rýchlo za sebou, aby premohli cieľové zariadenie, čím mu zabránili v spracovaní legitímnej prevádzky. Tento typ útoku sa často používa v spojení s iné formy DDoS útokov ako súčasť viacvektorového útoku.

instagram viewer

Cieľ môže byť buď server alebo sieť ako celok. Samotný objem týchto požiadaviek môže spôsobiť preťaženie cieľa, čo má za následok neschopnosť spracovať legitímnu prevádzku, prerušenie služieb alebo dokonca úplné zlyhanie systému.

Väčšina ICMP záplavových útokov používa techniku ​​nazývanú „spoofing“, kde útočník pošle pakety do cieľa so sfalšovanou zdrojovou adresou, ktorá sa zdá byť z dôveryhodného zdroja. To sťažuje cieľu rozlíšiť medzi legitímnou a škodlivou prevádzkou.

Prostredníctvom spoofingu útočník posiela veľké množstvo žiadostí o odozvu ICMP do cieľa. Keď príde každá požiadavka, cieľ nemá inú možnosť ako odpovedať odozvou ICMP. To môže rýchlo zahltiť cieľové zariadenie a spôsobiť, že prestane reagovať alebo dokonca zlyhá.

Nakoniec môže útočník poslať pakety presmerovania ICMP na cieľ v snahe ďalej narušiť jeho smerovacie tabuľky a znemožniť mu komunikáciu s inými uzlami siete.

Ako zistiť povodňový útok ICMP

Existujú určité znaky, ktoré naznačujú, že môže prebiehať povodňový útok ICMP.

1. Náhle zvýšenie sieťovej prevádzky

Najčastejším príznakom ICMP záplavového útoku je náhly nárast sieťovej prevádzky. Toto je často sprevádzané vysokou rýchlosťou paketov z jednej zdrojovej IP adresy. Dá sa to jednoducho sledovať v nástrojoch na monitorovanie siete.

2. Nezvyčajne vysoká odchádzajúca návštevnosť

Ďalším znakom ICMP záplavového útoku je nezvyčajne vysoká odchádzajúca prevádzka z cieľového zariadenia. Je to spôsobené odosielaním paketov s odozvou späť na počítač útočníka, ktorých počet je často väčší ako pôvodné požiadavky ICMP. Ak si všimnete, že prevádzka je na vašom cieľovom zariadení oveľa vyššia ako normálne, môže to byť znak prebiehajúceho útoku.

3. Vysoké rýchlosti paketov z jednej zdrojovej IP adresy

Počítač útočníka často odošle nezvyčajne vysoký počet paketov z jednej zdrojovej IP adresy. Tie možno zistiť monitorovaním prichádzajúcej prevádzky do cieľového zariadenia a hľadaním paketov, ktoré majú zdrojovú IP adresu s nezvyčajne veľkým počtom paketov.

4. Neustále skoky v latencii siete

Latencia siete môže byť tiež znakom ICMP záplavového útoku. Ako útočníkov stroj posiela stále viac požiadaviek na cieľové zariadenie, čas potrebný na to, aby nové pakety dosiahli svoj cieľ, sa zvyšuje. To má za následok neustále zvyšovanie latencie siete, čo môže prípadne viesť k zlyhaniu systému, ak nie je správne riešené.

5. Zvýšenie využitia CPU na cieľovom systémeMaketa prenosného počítača zobrazujúca vysoké využitie procesora procesom telemetrie kompatibility spoločnosti Microsoft v aplikácii Správca úloh v systéme Windows

Využitie CPU cieľového systému môže byť tiež indikátorom ICMP záplavového útoku. Ako sa do cieľového zariadenia posiela stále viac požiadaviek, jeho CPU je nútené pracovať tvrdšie, aby ich všetky spracoval. To má za následok náhly nárast využitia CPU, čo môže spôsobiť, že systém prestane reagovať alebo dokonca zlyhá, ak zostane nezačiarknutý.

6. Nízka priepustnosť pre legálnu premávku

Nakoniec, ICMP záplavový útok môže tiež viesť k nízkej priepustnosti legitímnej prevádzky. Je to spôsobené obrovským objemom požiadaviek odoslaných útočníkovým počítačom, ktorý zahltí cieľové zariadenie a zabráni mu spracovať akúkoľvek inú prichádzajúcu komunikáciu.

Prečo je povodňový útok ICMP nebezpečný?

Záplavový útok ICMP môže spôsobiť značné poškodenie cieľového systému. Môže to viesť k preťaženiu siete, strate paketov a problémom s oneskorením, ktoré môžu zabrániť normálnej prevádzke dosiahnuť svoj cieľ.

Útočníkovi sa navyše môže podariť získať prístup k internej sieti cieľa zneužitím bezpečnostné chyby v ich systéme.

Okrem toho môže byť útočník schopný vykonávať ďalšie škodlivé činnosti, ako je odosielanie veľkého množstva nevyžiadaných údajov alebo spúšťanie distribuované útoky denial-of-service (DDoS). proti iným systémom.

Ako zabrániť povodňovým útokom ICMP

Existuje niekoľko opatrení, ktoré možno prijať, aby sa predišlo povodňovým útokom ICMP.

  • Obmedzenie sadzby: Obmedzenie rýchlosti je jednou z najúčinnejších metód prevencie ICMP záplavových útokov. Táto technika zahŕňa nastavenie maximálneho počtu požiadaviek alebo paketov, ktoré je možné odoslať do cieľového zariadenia v určitom časovom období. Všetky pakety, ktoré prekročia tento limit, budú zablokované firewallom, čo im zabráni dostať sa do cieľa.
  • Firewall a systémy detekcie a prevencie narušenia: Firewally a Systémy detekcie a prevencie narušenia (IDS/IPS) možno použiť aj na detekciu a prevenciu ICMP záplavových útokov. Tieto systémy sú navrhnuté tak, aby monitorovali sieťovú prevádzku a blokovali akúkoľvek podozrivú aktivitu, ako sú nezvyčajne vysoké rýchlosti paketov alebo požiadavky prichádzajúce z IP adries z jedného zdroja.
  • Segmentácia siete: Ďalším spôsobom ochrany pred ICMP záplavovými útokmi je segmentovať sieť. Ide o rozdelenie vnútornej siete na menšie podsiete a vytvorenie firewallov medzi nimi, čo môže pomôcť zabrániť útočníkovi získať prístup do celého systému, ak je to jedna z podsietí kompromitovaný.
  • Overenie zdrojovej adresy: Overenie zdrojovej adresy je ďalším spôsobom ochrany pred ICMP záplavovými útokmi. Táto technika zahŕňa overenie, či pakety prichádzajúce mimo siete sú skutočne zo zdrojovej adresy, o ktorej tvrdia, že pochádzajú. Všetky pakety, ktoré zlyhajú pri tomto overení, budú zablokované bránou firewall, čo im zabráni dostať sa do cieľa.

Chráňte svoj systém pred povodňovými útokmi ICMP

Záplavový útok ICMP môže spôsobiť značné poškodenie cieľového systému a často sa používa ako súčasť väčšieho škodlivého útoku.

Našťastie existuje niekoľko opatrení, ktoré môžete prijať, aby ste tomuto typu útoku zabránili, ako napríklad obmedzenie rýchlosti, používanie firewallov a systémov detekcie a prevencie narušenia, segmentácia siete a zdrojová adresa overenie. Implementácia týchto opatrení môže pomôcť zaistiť bezpečnosť vášho systému a chrániť ho pred potenciálnymi útočníkmi.