ICMP üleujutusrünnak on teenuse keelamise (DoS) rünnak, mis kasutab ICMP (Internet Control Message Protocol) protokolli, et sihtsüsteem päringutega üle koormata. Seda saab kasutada nii serverite kui ka üksikute tööjaamade sihtimiseks.
ICMP üleujutusrünnaku eest kaitsmiseks on oluline mõista, mis see on ja kuidas see toimib.
Mis on ICMP üleujutusrünnak?
ICMP üleujutusrünnak, tuntud ka kui ping-uputusrünnak või smurfirünnak, on võrgukihi DDoS (Distributed Denial of Service) rünnak, milles ründaja üritab sihitud seadet ületada, saates liiga palju Interneti-juhtsõnumiprotokolli (ICMP) kajapäringut paketid. Need paketid saadetakse kiiresti järjest, et sihtseade üle koormata, takistades sellega seadusliku liikluse töötlemist. Seda tüüpi rünnakuid kasutatakse sageli koos muud DDoS-rünnakute vormid osana mitme vektoriga rünnakust.
Sihtmärk võib olla kas server või võrk tervikuna. Nende päringute tohutu hulk võib põhjustada sihtmärgi ülekoormamise, mille tulemuseks on suutmatus töödelda seaduslikku liiklust, teenuste katkestus või isegi täielik süsteemitõrge.
Enamik ICMP üleujutusrünnakuid kasutab tehnikat, mida nimetatakse "võltsimiseks", kus ründaja saadab sihtmärgile paketid võltsitud lähteaadressiga, mis näib olevat pärit usaldusväärsest allikast. See muudab sihtmärgi jaoks seadusliku ja pahatahtliku liikluse eristamise raskemaks.
Ründaja saadab võltsimise kaudu sihtmärgile suure hulga ICMP kajapäringuid. Iga päringu saabumisel pole sihtmärgil muud valikut kui vastata ICMP kajavastusega. See võib sihtseadme kiiresti üle koormata ja põhjustada selle, et see ei reageeri või isegi kokku jookseb.
Lõpuks võib ründaja saata sihtmärgile ICMP ümbersuunamispakette, püüdes selle marsruutimistabeleid veelgi häirida ja muuta see teiste võrgusõlmedega suhtlemise võimatuks.
Kuidas tuvastada ICMP üleujutusrünnakut
On teatud märke, mis viitavad ICMP üleujutusrünnakule.
1. Võrguliikluse järsk kasv
ICMP üleujutuse rünnaku kõige levinum märk on võrguliikluse järsk suurenemine. Sageli kaasneb sellega ühest allika IP-aadressilt pärit kõrge paketikiirus. Seda saab hõlpsasti jälgida võrgu jälgimise tööriistade abil.
2. Ebatavaliselt suur väljaminev liiklus
Veel üks ICMP üleujutusrünnaku tunnus on sihtseadmest ebatavaliselt suur väljaminev liiklus. Selle põhjuseks on ründaja masinasse tagasi saadetud kajavastuse paketid, mis on sageli suuremad kui algsed ICMP päringud. Kui märkate oma sihtseadmes tavapärasest palju suuremat liiklust, võib see olla märk käimasolevast rünnakust.
3. Ühe allika IP-aadressi kõrged paketimäärad
Ründaja masin saadab sageli ühelt allika IP-aadressilt ebatavaliselt suure hulga pakette. Neid saab tuvastada, jälgides sihtseadmesse sissetulevat liiklust ja otsides pakette, millel on ebatavaliselt suure pakettide arvuga IP-aadress.
4. Võrgu latentsuse pidevad hüpped
Võrgu latentsusaeg võib olla ka märk ICMP üleujutusrünnakust. Kuna ründaja masin saadab sihtseadmele üha rohkem päringuid, pikeneb aeg, mis kulub uute pakettide sihtkohta jõudmiseks. Selle tulemuseks on võrgu latentsusaja pidev suurenemine, mis võib lõpuks põhjustada süsteemi tõrkeid, kui seda õigesti ei käsitleta.
5. CPU kasutuse suurenemine sihtsüsteemis
Sihtsüsteemi protsessori kasutamine võib samuti viidata ICMP üleujutusrünnakule. Kuna sihtseadmele saadetakse üha rohkem päringuid, on selle protsessor sunnitud nende kõigi töötlemiseks rohkem tööd tegema. Selle tulemuseks on protsessori kasutamise järsk hüpe, mis võib põhjustada süsteemi mittereageerimise või isegi krahhi, kui seda ei märgita.
6. Madal läbilaskevõime seadusliku liikluse jaoks
Lõpuks võib ICMP üleujutusrünnak põhjustada ka seadusliku liikluse madala läbilaskevõime. Selle põhjuseks on ründaja masina saadetud päringute tohutu hulk, mis ületab sihtseadme ja ei lase sellel töödelda muud sissetulevat liiklust.
Miks on ICMP üleujutusrünnak ohtlik?
ICMP üleujutusrünnak võib sihtmärksüsteemi oluliselt kahjustada. See võib põhjustada võrgu ummikuid, pakettide kadumist ja latentsusprobleeme, mis võivad takistada tavapärase liikluse sihtkohta jõudmist.
Lisaks võib ründajal olla juurdepääs sihtmärgi sisevõrgule, kasutades ära turvanõrkused nende süsteemis.
Peale selle võib ründaja olla võimeline sooritama muid pahatahtlikke tegevusi, näiteks saata suurtes kogustes soovimatuid andmeid või käivitada hajutatud teenusekeelu (DDoS) rünnakud teiste süsteemide vastu.
Kuidas vältida ICMP üleujutuste rünnakut
ICMP üleujutusrünnaku ärahoidmiseks saab võtta mitmeid meetmeid.
- Kiiruse piiramine: kiiruse piiramine on üks tõhusamaid meetodeid ICMP üleujutuste rünnakute ärahoidmiseks. See meetod hõlmab taotluste või pakettide maksimaalse arvu määramist, mida saab teatud aja jooksul sihtseadmesse saata. Kõik paketid, mis seda limiiti ületavad, blokeeritakse tulemüüri poolt, takistades neil sihtkohta jõudmast.
- Tulemüür ning sissetungimise tuvastamise ja ennetamise süsteemid: Tulemüürid ja Sissetungi tuvastamise ja ennetamise süsteemid (IDS/IPS) saab kasutada ka ICMP üleujutuste rünnakute tuvastamiseks ja ennetamiseks. Need süsteemid on loodud võrguliikluse jälgimiseks ja igasuguse kahtlase tegevuse blokeerimiseks, nagu ebatavaliselt kõrged paketikiirused või päringud, mis tulevad ühe allika IP-aadressidelt.
- Võrgu segmenteerimine: Teine viis ICMP üleujutuste eest kaitsmiseks on segmentida võrku. See hõlmab sisevõrgu jagamist väiksemateks alamvõrkudeks ja nende vahele tulemüüride loomist, mis võib aidata takistada ründajal juurdepääsu kogu süsteemile, kui üks alamvõrk on olemas kompromiteeritud.
- Allika aadressi kinnitamine: allikaaadressi kontrollimine on veel üks viis ICMP üleujutusrünnakute eest kaitsmiseks. See meetod hõlmab kontrollimist, et väljastpoolt võrku tulevad paketid pärinevad tegelikult lähteaadressilt, millelt nad väidetavalt pärinevad. Tulemüür blokeerib kõik paketid, mis seda kinnitamist ebaõnnestuvad, takistades neil sihtkohta jõudmast.
Kaitske oma süsteemi ICMP üleujutusrünnakute eest
ICMP üleujutusrünnak võib sihtsüsteemi oluliselt kahjustada ja seda kasutatakse sageli suurema pahatahtliku rünnaku osana.
Õnneks saate seda tüüpi rünnakute vältimiseks võtta mitmeid meetmeid, näiteks kiiruse piiramine, kasutades tulemüüre ja sissetungimise tuvastamise ja ennetamise süsteeme, võrgu segmenteerimist ja lähteaadressi kontrollimine. Nende meetmete rakendamine aitab tagada teie süsteemi turvalisuse ja kaitsta seda võimalike ründajate eest.
