ICMP plūdu uzbrukums ir pakalpojuma atteikuma (DoS) uzbrukuma veids, kas izmanto interneta vadības ziņojumu protokolu (ICMP), lai pārslogotu mērķa sistēmu ar pieprasījumiem. To var izmantot, lai atlasītu gan serverus, gan atsevišķas darbstacijas.
Lai aizsargātu pret ICMP plūdu uzbrukumu, ir svarīgi saprast, kas tas ir un kā tas darbojas.
Kas ir ICMP plūdu uzbrukums?
ICMP plūdu uzbrukums, kas pazīstams arī kā ping plūdu uzbrukums vai smurf uzbrukums, ir tīkla slāņa DDoS (Distributed Denial of Service) uzbrukums, kurā uzbrucējs mēģina pārvarēt mērķa ierīci, nosūtot pārmērīgu interneta vadības ziņojumu protokola (ICMP) atbalss pieprasījumu paciņas. Šīs paketes tiek nosūtītas ātri pēc kārtas, lai pārslogotu mērķa ierīci, tādējādi neļaujot tai apstrādāt likumīgu trafiku. Šāda veida uzbrukums bieži tiek izmantots kopā ar citi DDoS uzbrukumu veidi kā daļa no vairāku vektoru uzbrukuma.
Mērķis var būt serveris vai tīkls kopumā. Šo pieprasījumu milzīgais apjoms var izraisīt mērķa pārpilnību, izraisot nespēju apstrādāt likumīgu trafiku, pakalpojumu pārtraukšanu vai pat pilnīgu sistēmas kļūmi.
Lielākā daļa ICMP plūdu uzbrukumu izmanto paņēmienu, ko sauc par "vilkšanu", kur uzbrucējs nosūtīs paketes uz mērķi ar viltotu avota adresi, kas, šķiet, ir no uzticama avota. Tādējādi mērķim ir grūtāk atšķirt likumīgu trafiku no ļaunprātīgas.
Izmantojot viltošanu, uzbrucējs nosūta mērķim lielu daudzumu ICMP atbalss pieprasījumu. Ienākot katram pieprasījumam, mērķim nav citas iespējas kā vien atbildēt ar ICMP atbalss atbildi. Tas var ātri pārslogot mērķa ierīci un izraisīt tās nereaģēšanu vai pat avāriju.
Visbeidzot, uzbrucējs var nosūtīt ICMP novirzīšanas paketes uz mērķi, mēģinot vēl vairāk traucēt maršrutēšanas tabulas un padarīt to nespējīgu sazināties ar citiem tīkla mezgliem.
Kā noteikt ICMP plūdu uzbrukumu
Ir noteiktas pazīmes, kas liecina, ka varētu būt noticis ICMP plūdu uzbrukums.
1. Pēkšņs tīkla trafika pieaugums
Visizplatītākā ICMP plūdu uzbrukuma pazīme ir pēkšņs tīkla trafika pieaugums. To bieži pavada augsts pakešu ātrums no viena avota IP adreses. To var viegli uzraudzīt tīkla uzraudzības rīkos.
2. Neparasti liela izejošā satiksme
Vēl viena ICMP plūdu uzbrukuma pazīme ir neparasti liela izejošā trafika no mērķa ierīces. Tas ir saistīts ar to, ka atbalss atbildes paketes tiek nosūtītas atpakaļ uz uzbrucēja iekārtu, kuru skaits bieži ir lielāks nekā sākotnējie ICMP pieprasījumi. Ja jūsu mērķa ierīcē pamanāt trafiku, kas ir daudz lielāks nekā parasti, tas var liecināt par notiekošu uzbrukumu.
3. Augsti pakešu tarifi no viena avota IP adreses
Uzbrucēja iekārta bieži nosūtīs neparasti lielu skaitu pakešu no viena avota IP adreses. Tos var noteikt, pārraugot mērķa ierīcē ienākošo trafiku un meklējot paketes, kurām ir avota IP adrese ar neparasti lielu pakešu skaitu.
4. Nepārtraukti lēcieni tīkla latentumā
Tīkla latentums var arī liecināt par ICMP plūdu uzbrukumu. Tā kā uzbrucēja iekārta nosūta arvien vairāk pieprasījumu uz mērķa ierīci, palielinās laiks, kas nepieciešams, lai jaunas paketes sasniegtu galamērķi. Tā rezultātā nepārtraukti palielinās tīkla latentums, kas galu galā var izraisīt sistēmas atteici, ja tas netiek pareizi novērsts.
5. CPU izmantošanas palielināšanās mērķa sistēmā
Mērķa sistēmas centrālā procesora izmantošana var arī liecināt par ICMP plūdu uzbrukumu. Tā kā uz mērķa ierīci tiek nosūtīts arvien vairāk pieprasījumu, tā centrālais procesors ir spiests strādāt vairāk, lai tos visus apstrādātu. Tas izraisa pēkšņu CPU izmantošanas pieaugumu, kas var izraisīt sistēmas nereaģēšanu vai pat avāriju, ja tas netiek atzīmēts.
6. Zema caurlaidspēja likumīgai satiksmei
Visbeidzot, ICMP plūdu uzbrukums var izraisīt arī zemu likumīgas trafika caurlaidspēju. Tas ir saistīts ar milzīgo pieprasījumu skaitu, ko sūta uzbrucēja mašīna, kas pārslogo mērķa ierīci un neļauj tai apstrādāt citu ienākošo trafiku.
Kāpēc ICMP plūdu uzbrukums ir bīstams?
ICMP plūdu uzbrukums var radīt būtisku kaitējumu mērķa sistēmai. Tas var izraisīt tīkla pārslodzi, pakešu zudumu un latentuma problēmas, kas var traucēt normālai trafikam sasniegt galamērķi.
Turklāt uzbrucējs var piekļūt mērķa iekšējam tīklam, izmantojot to drošības ievainojamības savā sistēmā.
Izņemot to, uzbrucējs var veikt citas ļaunprātīgas darbības, piemēram, sūtīt lielu daudzumu nevēlamu datu vai palaist izplatīti pakalpojumu liegšanas (DDoS) uzbrukumi pret citām sistēmām.
Kā novērst ICMP plūdu uzbrukumu
Ir vairāki pasākumi, ko var veikt, lai novērstu ICMP plūdu uzbrukumu.
- Likmes ierobežošana: ātruma ierobežošana ir viena no efektīvākajām metodēm ICMP plūdu uzbrukumu novēršanai. Šis paņēmiens ietver maksimālā pieprasījumu vai pakešu skaita iestatīšanu, ko noteiktā laika periodā var nosūtīt uz mērķa ierīci. Visas paketes, kas pārsniedz šo ierobežojumu, bloķēs ugunsmūris, neļaujot tām sasniegt galamērķi.
- Ugunsmūris un ielaušanās atklāšanas un novēršanas sistēmas: Ugunsmūri un Ielaušanās noteikšanas un novēršanas sistēmas (IDS/IPS) var izmantot arī, lai atklātu un novērstu ICMP plūdu uzbrukumus. Šīs sistēmas ir izstrādātas, lai uzraudzītu tīkla trafiku un bloķētu jebkādas aizdomīgas darbības, piemēram, neparasti augstu pakešu ātrumu vai pieprasījumus no viena avota IP adresēm.
- Tīkla segmentācija: Vēl viens veids, kā aizsargāties pret ICMP plūdu uzbrukumiem, ir segmentēt tīklu. Tas ietver iekšējā tīkla sadalīšanu mazākos apakštīklos un ugunsmūru izveidošanu starp tiem, kas var palīdzēt novērst uzbrucēja piekļuvi visai sistēmai, ja ir viens no apakštīkliem kompromitēts.
- Avota adreses pārbaude: avota adreses pārbaude ir vēl viens veids, kā aizsargāties pret ICMP plūdu uzbrukumiem. Šis paņēmiens ietver pārbaudi, vai paketes, kas nāk no ārpus tīkla, patiešām ir no avota adreses, no kuras tās ir. Visas paketes, kurām šī pārbaude neizdodas, ugunsmūris bloķēs, neļaujot tām sasniegt galamērķi.
Aizsargājiet savu sistēmu no ICMP plūdu uzbrukumiem
ICMP plūdu uzbrukums var radīt būtisku kaitējumu mērķa sistēmai, un to bieži izmanto kā daļu no lielāka ļaunprātīga uzbrukuma.
Par laimi, ir vairāki pasākumi, ko varat veikt, lai novērstu šāda veida uzbrukumus, piemēram, ātruma ierobežošana, izmantojot ugunsmūrus un ielaušanās atklāšanas un novēršanas sistēmas, tīkla segmentāciju un avota adresi pārbaude. Šo pasākumu ieviešana var palīdzēt nodrošināt jūsu sistēmas drošību un aizsargāt to no iespējamiem uzbrucējiem.
