Ping översvämning

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 20 april 2018; kontroller kräver 6 redigeringar .

ping flood (från engelska ping-flood , bokstavligen: flooding with requests) är en typ av attack mot nätverksutrustning som syftar till denial of service . Nyckelfunktionen (jämfört med andra typer av översvämningsattacker) är förmågan att utföra en attack med "hushållsmedel" (program och verktyg som ingår i hem-/kontorversioner av operativsystem).

Kärnan i attacken

Ett ICMP-meddelande (ekobegäran) behandlas av nätverksutrustning från lager 3 (och högre). I de flesta fall använder denna utrustning programvara för paketroutning och bearbetning. I detta fall kräver ekobegäran att enheten accepterar paketet, bearbetar det och genererar/sänder ett paket med ett svar på begäran. Volymen av åtgärder som utförs i detta fall är många gånger större än volymen av arbete med att dirigera ett vanligt paket. Storleken på en ICMP-förfrågan är vanligtvis liten (cirka 64 byte, med en maximal IP-paketstorlek på 64 kbyte). Som ett resultat, medan den formellt bibehåller en liten mängd trafik, uppstår en överbelastning vad gäller antalet paket, och enheten börjar förlora resten av paketen (via andra gränssnitt eller protokoll), vilket är målet med attacken .

Begränsningar av ICMP-översvämning

Vissa leverantörer i kontraktet stipulerar en begränsning av hastigheten för ICMP-paket som en separat klausul, förbehåller sig rätten att avsluta tillhandahållandet av tjänsten i händelse av en ICMP-översvämning som stör driften av nätverksutrustning.

Distribuerad attack

I en distribuerad attack (från flera tusen noder) kommer ICMP-förfrågningar med den vanliga testhastigheten (ca 1 paket per sekund från en nod), men samtidigt från flera tusen datorer. I det här fallet kan den resulterande belastningen på enheten som är målet för attacken nå kanalens bandbredd (och säkerligen överstiga enhetens paketbearbetningshastighet).

I april 2007 utsattes den estniska regeringens webbplatser för en distribuerad ICMP-attack (i samband med händelserna kring bronssoldaten ). Ping - diagnostikverktyget användes som ett "vapen" för attacken och skickade ett paket på 20 000 byte till webbplatsen www.riik.ee. Enligt medierapporter var attacken framgångsrik [1] .

Under 2010 översteg kraften hos en distribuerad DDoS- attack 100 Gbps för första gången [2] .

Motattack

För att motverka attacken (utöver att blockera trafik från enskilda noder och nätverk) är följande åtgärder möjliga:

inaktivera svar på ICMP-förfrågningar (inaktivera motsvarande tjänster eller förhindra ett svar på en viss typ av meddelande) på målsystemet;
Att sänka prioriteten för behandling av ICMP-meddelanden (i detta fall behandlas all annan trafik på vanligt sätt, och ICMP-förfrågningar behandlas enligt restprincipen, i händelse av överbelastning med ICMP-meddelanden ignoreras några av dem).
släppa eller filtrera ICMP-trafik med hjälp av en brandvägg .
öka kön av anslutningar som bearbetas

Se även

Länkar

↑ Hackare attackerar estniska myndigheters webbplatser - lenta.ru . Hämtad 1 maj 2007. Arkiverad från originalet 3 maj 2007. (obestämd)
↑ Rapport om nätverksinfrastruktursäkerhetsforskning | Arbor nätverk . Hämtad 2 februari 2011. Arkiverad från originalet 25 december 2010. (obestämd)