Ping flood

Versiunea actuală a paginii nu a fost încă examinată de colaboratori experimentați și poate diferi semnificativ de versiunea revizuită pe 20 aprilie 2018; verificările necesită 6 modificări .

ping flood (din engleză ping-flood , literalmente: inundare cu solicitări) este un tip de atac asupra echipamentelor de rețea care vizează refuzarea serviciului . Caracteristica cheie (comparativ cu alte tipuri de atacuri de inundații) este capacitatea de a efectua un atac prin „mijloace casnice” (programe și utilități care fac parte din versiunile de acasă / birou ale sistemelor de operare).

Esența atacului

Un mesaj ICMP (cerere de ecou) este procesat de echipamentele de rețea de nivel 3 (și superior). În cele mai multe cazuri, acest echipament utilizează software de rutare și procesare a pachetelor. În acest caz, cererea echo necesită ca dispozitivul să accepte pachetul, să-l proceseze și să genereze/trimite un pachet cu un răspuns la cerere. Volumul de acțiuni efectuate în acest caz este de multe ori mai mare decât volumul de lucru la rutarea unui pachet obișnuit. Dimensiunea unei cereri ICMP este de obicei mică (aproximativ 64 de octeți, cu o dimensiune maximă a pachetului IP de 64 de kbytes). Ca urmare, în timp ce se menține în mod oficial o cantitate mică de trafic, apare o supraîncărcare în ceea ce privește numărul de pachete, iar dispozitivul începe să piardă restul pachetelor (prin alte interfețe sau protocoale), care este scopul atacului. .

Limitări ale inundațiilor ICMP

Unii furnizori în contract prevăd o limitare a vitezei pachetelor ICMP ca clauză separată, rezervându-și dreptul de a înceta furnizarea serviciului în cazul unei inundații ICMP care perturbă funcționarea echipamentelor de rețea.

Atacul distribuit

Într-un atac distribuit (de la câteva mii de noduri), solicitările ICMP ajung la rata obișnuită de testare (aproximativ 1 pachet pe secundă de la un nod), dar simultan de la câteva mii de computere. În acest caz, sarcina rezultată pe dispozitivul care este ținta atacului poate atinge lățimea de bandă a canalului (și cu siguranță depășește rata de procesare a pachetelor a dispozitivului).

În aprilie 2007, site-urile web ale guvernului estonian au fost supuse unui atac distribuit ICMP (în legătură cu evenimentele din jurul soldatului de bronz ). Utilitarul de diagnosticare ping a fost folosit ca „armă” a atacului , trimițând un pachet de 20.000 de octeți pe site-ul www.riik.ee. Potrivit rapoartelor presei, atacul a avut succes [1] .

În 2010, puterea unui atac DDoS distribuit a depășit pentru prima dată 100 Gbps [2] .

Contraatac

Pentru a contracara atacul (pe lângă blocarea traficului de la noduri și rețele individuale), sunt posibile următoarele măsuri:

dezactivarea răspunsurilor la solicitările ICMP (dezactivarea serviciilor corespunzătoare sau împiedicarea unui răspuns la un anumit tip de mesaj) pe sistemul țintă;
Scăderea priorității procesării mesajelor ICMP (în acest caz, tot restul traficului este procesat în mod obișnuit, iar cererile ICMP sunt procesate conform principiului rezidual, în caz de supraîncărcare cu mesaje ICMP, unele dintre ele sunt ignorate).
eliminarea sau filtrarea traficului ICMP prin intermediul unui firewall .
creșterea cozii de conexiuni în curs de procesare

Vezi și

Link -uri

↑ Hackerii atacă site-urile guvernamentale ale Estoniei - lenta.ru . Consultat la 1 mai 2007. Arhivat din original pe 3 mai 2007. (nedefinit)
↑ Raport de cercetare privind securitatea infrastructurii de rețea | Rețele Arbor . Preluat la 2 februarie 2011. Arhivat din original la 25 decembrie 2010. (nedefinit)