ICMP flood napad vrsta je napada uskraćivanjem usluge (DoS) koji koristi Internet Control Message Protocol (ICMP) kako bi ciljni sustav zatrpao zahtjevima. Može se koristiti za ciljanje poslužitelja i pojedinačnih radnih stanica.
Kako bi se zaštitili od ICMP flood napada, važno je razumjeti što je to i kako funkcionira.
Što je ICMP Flood Attack?
ICMP flood napad, također poznat kao ping flood napad ili smurf napad, je DDoS (Distributed Denial of Service) napad mrežnog sloja u kojem napadač pokušava nadjačati ciljani uređaj slanjem prekomjerne količine echo zahtjeva protokola za kontrolu internetskih poruka (ICMP) paketi. Ti se paketi šalju u brzom slijedu kako bi preplavili ciljni uređaj, čime ga sprječavaju u obradi legitimnog prometa. Ova vrsta napada često se koristi u kombinaciji s drugi oblici DDoS napada kao dio viševektorskog napada.
Cilj može biti ili poslužitelj ili mreža u cjelini. Sama količina ovih zahtjeva može uzrokovati pretrpanost cilja, što rezultira nemogućnošću obrade legitimnog prometa, prekidom usluga ili čak potpunim kvarom sustava.
Većina ICMP flood napada koristi tehniku zvanu "spoofing", gdje će napadač poslati pakete meti s lažiranom izvornom adresom za koju se čini da je iz pouzdanog izvora. To meti otežava razlikovanje legitimnog i zlonamjernog prometa.
Kroz spoofing, napadač šalje veliku količinu ICMP echo zahtjeva meti. Kako svaki zahtjev dolazi, meta nema drugu opciju osim odgovora ICMP echo odgovorom. To može brzo preopteretiti ciljni uređaj i uzrokovati da on prestane reagirati ili se čak sruši.
Konačno, napadač može poslati ICMP pakete za preusmjeravanje na cilj u pokušaju da dodatno poremeti njegove tablice usmjeravanja i onemogući komunikaciju s drugim mrežnim čvorovima.
Kako otkriti ICMP Flood napad
Postoje određeni znakovi koji upućuju na to da je možda u tijeku ICMP napad poplave.
1. Nagli porast mrežnog prometa
Najčešća indikacija ICMP flood napada je naglo povećanje mrežnog prometa. Ovo je često popraćeno velikom brzinom paketa s jedne izvorne IP adrese. To se može lako pratiti u alatima za nadzor mreže.
2. Neobično visok izlazni promet
Još jedan pokazatelj ICMP flood napada je neuobičajeno visok izlazni promet s ciljnog uređaja. To je zbog paketa eho-odgovora koji se šalju natrag na napadačev stroj, a koji su često veći u broju od originalnih ICMP zahtjeva. Ako primijetite da je promet mnogo veći od uobičajenog na vašem ciljnom uređaju, to bi mogao biti znak napada koji je u tijeku.
3. Visoke brzine paketa s jedne izvorne IP adrese
Napadačev stroj često će poslati neuobičajeno velik broj paketa s jedne izvorne IP adrese. Oni se mogu otkriti praćenjem dolaznog prometa prema ciljnom uređaju i traženjem paketa koji imaju izvornu IP adresu s neobično velikim brojem paketa.
4. Kontinuirani skokovi u latenciji mreže
Kašnjenje mreže također može biti znak ICMP flood napada. Kako napadačev stroj šalje sve više i više zahtjeva ciljnom uređaju, vrijeme koje je potrebno da novi paketi stignu do odredišta se povećava. To rezultira kontinuiranim povećanjem mrežne latencije što na kraju može dovesti do kvara sustava ako se ne riješi ispravno.
5. Povećanje iskorištenja CPU-a na ciljnom sustavu
Iskorištenje CPU-a ciljnog sustava također može biti pokazatelj ICMP flood napada. Kako se ciljnom uređaju šalje sve više i više zahtjeva, njegov CPU je prisiljen raditi više kako bi ih sve obradio. To rezultira iznenadnim porastom iskorištenosti CPU-a što može uzrokovati da sustav ne reagira ili čak padne ako se ne provjeri.
6. Niska propusnost za legitiman promet
Konačno, ICMP flood napad također može rezultirati niskom propusnošću za legitiman promet. To je zbog ogromne količine zahtjeva koje šalje napadačev stroj, koji preplavljuje ciljni uređaj i sprječava ga u obradi bilo kojeg drugog dolaznog prometa.
Zašto je ICMP poplavni napad opasan?
ICMP flood napad može uzrokovati značajnu štetu ciljnom sustavu. To može dovesti do zagušenja mreže, gubitka paketa i problema s kašnjenjem koji mogu spriječiti normalan promet da stigne do odredišta.
Osim toga, napadač može dobiti pristup internoj mreži mete iskorištavanjem sigurnosne propuste u njihovom sustavu.
Osim toga, napadač može izvesti druge zlonamjerne aktivnosti, poput slanja velikih količina neželjenih podataka ili pokretanja distribuirani napadi uskraćivanja usluge (DDoS). protiv drugih sustava.
Kako spriječiti ICMP Flood Attack
Postoji nekoliko mjera koje se mogu poduzeti kako bi se spriječio ICMP flood napad.
- Ograničenje brzine: Ograničenje brzine jedna je od najučinkovitijih metoda za sprječavanje ICMP flood napada. Ova tehnika uključuje postavljanje maksimalnog broja zahtjeva ili paketa koji se mogu poslati ciljnom uređaju unutar određenog vremenskog razdoblja. Vatrozid će blokirati sve pakete koji premašuju ovo ograničenje, sprječavajući ih da dođu do odredišta.
- Vatrozid i sustavi za otkrivanje i sprječavanje upada: Vatrozidi i Sustavi za otkrivanje i sprječavanje upada (IDS/IPS) također se može koristiti za otkrivanje i sprječavanje ICMP flood napada. Ovi su sustavi dizajnirani za nadzor mrežnog prometa i blokiranje bilo kakve sumnjive aktivnosti, kao što su neuobičajeno visoke brzine paketa ili zahtjevi koji dolaze s IP adresa jednog izvora.
- Segmentacija mreže: Drugi način zaštite od ICMP flood napada je segmentirati mrežu. To uključuje podjelu interne mreže na manje podmreže i stvaranje vatrozida između njih, što može pomoći spriječiti napadača da dobije pristup cijelom sustavu ako je jedna od podmreža kompromitirana.
- Provjera izvorne adrese: Provjera adrese izvora je još jedan način zaštite od ICMP flood napada. Ova tehnika uključuje provjeru jesu li paketi koji dolaze izvan mreže zapravo s izvorne adrese s koje tvrde da dolaze. Sve pakete koji ne prođu ovu provjeru blokirat će vatrozid, sprječavajući ih da dođu do svog odredišta.
Zaštitite svoj sustav od ICMP Flood napada
ICMP flood napad može uzrokovati značajnu štetu ciljnom sustavu i često se koristi kao dio većeg zlonamjernog napada.
Srećom, postoji nekoliko mjera koje možete poduzeti kako biste spriječili ovu vrstu napada, poput ograničenja brzine, korištenje vatrozida i sustava za otkrivanje i sprječavanje upada, segmentaciju mreže i izvornu adresu verifikacija. Provedba ovih mjera može pomoći u osiguravanju sigurnosti vašeg sustava i zaštiti ga od potencijalnih napadača.
