Ping oversvømmelse

ping flood (fra engelsk  ping-flood , bogstaveligt talt: flooding with requests) er en type angreb på netværksudstyr, der sigter mod lammelsesangreb . Nøglefunktionen (sammenlignet med andre typer oversvømmelsesangreb) er evnen til at udføre et angreb med "husholdningsmidler" (programmer og hjælpeprogrammer, der er en del af hjemme-/kontorversioner af operativsystemer).

Essensen af ​​angrebet

En ICMP-meddelelse (ekko-anmodning) behandles af lag 3 (og højere) netværksudstyr. I de fleste tilfælde bruger dette udstyr software til pakkerouting og -behandling. I dette tilfælde kræver ekkoanmodningen, at enheden accepterer pakken, behandler den og genererer/sender en pakke med et svar på anmodningen. Mængden af ​​handlinger, der udføres i dette tilfælde, er mange gange større end mængden af ​​arbejde med at dirigere en almindelig pakke. Størrelsen af ​​en ICMP-anmodning er normalt lille (ca. 64 bytes, med en maksimal IP-pakkestørrelse på 64 kbytes). Som et resultat heraf, mens der formelt opretholdes en lille mængde trafik, opstår der en overbelastning med hensyn til antallet af pakker, og enheden begynder at miste resten af ​​pakkerne (via andre grænseflader eller protokoller), hvilket er målet med angrebet .

Begrænsninger af ICMP-oversvømmelser

Nogle udbydere i kontrakten fastsætter en begrænsning af hastigheden af ​​ICMP-pakker som en separat klausul, der forbeholder sig retten til at afslutte leveringen af ​​tjenesten i tilfælde af en ICMP-oversvømmelse, der forstyrrer driften af ​​netværksudstyr.

Distribueret angreb

I et distribueret angreb (fra flere tusinde knudepunkter) ankommer ICMP-anmodninger med den sædvanlige testhastighed (ca. 1 pakke pr. sekund fra en knude), men samtidig fra flere tusinde computere. I dette tilfælde kan den resulterende belastning på den enhed, der er målet for angrebet, nå kanalens båndbredde (og bestemt overstige enhedens pakkebehandlingshastighed).

I april 2007 blev den estiske regerings hjemmesider udsat for et distribueret ICMP-angreb (i forbindelse med begivenhederne omkring bronzesoldaten ). Ping -diagnoseværktøjet blev brugt som et "våben" til angrebet , og sendte en 20.000-byte-pakke til webstedet www.riik.ee. Ifølge mediernes rapporter var angrebet vellykket [1] .

I 2010 oversteg styrken af ​​et distribueret DDoS - angreb 100 Gbps for første gang [2] .

Modangreb

For at imødegå angrebet (ud over at blokere trafik fra individuelle noder og netværk) er følgende foranstaltninger mulige:

• deaktivering af svar på ICMP-anmodninger (deaktivering af de tilsvarende tjenester eller forhindrer et svar på en bestemt type besked) på målsystemet;
• Reduktion af prioritet for behandling af ICMP-meddelelser (i dette tilfælde behandles al anden trafik på den sædvanlige måde, og ICMP-anmodninger behandles i henhold til restprincippet, i tilfælde af overbelastning med ICMP-meddelelser ignoreres nogle af dem).
• droppe eller filtrere ICMP-trafik ved hjælp af en firewall .
• øge køen af ​​forbindelser, der behandles

Se også

• SYN oversvømmelse
• Ping af død

Links

1. ↑ Hackere angriber estiske regerings websteder - lenta.ru . Hentet 1. maj 2007. Arkiveret fra originalen 3. maj 2007. (ubestemt)
2. ↑ Netværksinfrastruktursikkerhedsforskningsrapport | Arbor netværk . Hentet 2. februar 2011. Arkiveret fra originalen 25. december 2010. (ubestemt)