Ping flood

Ping flood — это тип атаки «отказ в обслуживании», которая приводит к «отказу в обслуживании». Эту атаку можно представить как телефонный розыгрыш. Вредоносный абонент продолжает звонить и сразу же бросает трубку. Это блокирует телефонную линию, делая ее недоступной. На законные телефонные звонки больше нельзя ответить.

При известных атаках типа flood, таких как ping flood, HTTP flood, SYN flood и UDP flood, целевая система забрасывается бессмысленными запросами, пока не рухнет под нагрузкой. Не следует путать ping flood с ping of death, который напрямую разрушает целевую систему, не перегружая ее.

Пинг-флуд — это кибератака, которая может быть направлена на различные системы, подключенные к Интернету. Этими системами могут быть как серверы, так и маршрутизаторы или домашние компьютеры, принадлежащие частным лицам.

С точки зрения технологии, ping flood основан на протоколе Internet Control Message Protocol (ICMP). Этот протокол и связанная с ним команда ping обычно используются для проведения сетевых тестов. При ping flood целевой компьютер забрасывается пакетами ICMP «эхо-запрос». Если атакующий имеет большую пропускную способность, чем жертва, сеть заливает жертву.

Основная идея ping flood проста:

1. Атакующий посылает пакеты «эхо-запроса» на машину жертвы.
2. Машина жертвы отвечает пакетами «эхо-ответ».

Каждый входящий пакет «эхо-запрос» потребляет полосу пропускания на стороне жертвы. Поскольку пакет «эхо-ответ» отправляется обратно для каждого входящего пакета, объем данных в исходящем сетевом трафике одинаково высок. Если у злоумышленника достаточно пропускной способности, он может использовать всю доступную пропускную способность сети на стороне жертвы. В результате весь легитимный сетевой трафик будет замедлен или полностью прекращен.

Ping flood может быть как DoS-атакой, так и DDoS-атакой в зависимости от того, осуществляется ли атака одним компьютером или сетью компьютеров.

В простейшей версии этой атаки злоумышленник (A) посылает пакеты «эхо-запроса» жертве (O) с одной машины. Чтобы избежать раскрытия своей личности, атакующий подделывает свой IP-адрес. Случайный компьютер (U), доступный через этот IP-адрес, попадает под перекрестный огонь и подвергается бомбардировке результирующими пакетами «эхо-ответ». Этот побочный эффект известен как обратное рассеивание. В некоторых вариантах ping flood (например, в атаках smurf) обратное рассеивание используется как реальное оружие.

Для ping flood жертвы злоумышленник использует команду ping или современную альтернативу, например, инструмент hping. Атака инициируется из командной строки. Для запуска ping-флуда используется команда, специально разработанная для этой атаки. Из соображений безопасности мы можем показать здесь только приблизительное представление о том, как выглядит код hping:

Давайте рассмотрим опции:

• Опция —icmp указывает инструменту использовать ICMP в качестве протокола.
• Опция —flood имеет здесь решающее значение. Согласно документации к команде hping, эта опция приводит к тому, что пакеты отправляются настолько быстро, насколько это возможно. Это также приводит к тому, что входящие пакеты «эхо-ответ» от жертвы не принимаются во внимание и отбрасываются. Таким образом, вместо того, чтобы пинговать жертву и ждать ответа, как это обычно делается с помощью команды ping, пинги отправляются как можно быстрее.
• Опция —rand-source подделывает IP-адрес отправителя. Вместо реального IP-адреса отправителя вводится случайный IP-адрес.

Чтобы запустить распределенную ping-атаку, злоумышленник (А) использует ботнет (В). Каждый из ботов, управляемых злоумышленником, по команде запускает ping-флуд против жертвы (O). Поскольку несколько компьютеров теперь отправляют пинги на одну и ту же цель, на стороне атакующего становится доступной гораздо большая пропускная способность. Только очень защищенная цель сможет противостоять такой атаке.

В этом сценарии, поскольку атакующий не посылает пакеты «эхо-запроса» со своего компьютера, нет причин скрывать свой IP-адрес. Вместо этого боты отправляют пинги со своих собственных адресов. Обратное рассеяние возвращается на компьютеры-зомби бот-сети.

Существует три основных способа защиты от атак типа ping flood:

Возможно, самым простым способом защиты от атак ping flood является отключение функции ICMP на устройстве жертвы. Эта мера может оказать немедленную помощь во время атаки и использоваться в качестве превентивной меры для минимизации возможности атак.

Кроме того, маршрутизатор и брандмауэр могут быть настроены на обнаружение и фильтрацию вредоносного входящего сетевого трафика. Использование методов балансировки нагрузки и ограничения скорости также может помочь обеспечить защиту от DoS-атак.

Крупные провайдеры, такие как Cloudflare, располагают серверами в глобально распределенных центрах обработки данных. Если у вас есть собственный сайт, вы можете направить трафик данных через эти центры обработки данных. Это обеспечит вам гораздо большую пропускную способность, что поможет отразить DDoS-атаки. Трафик данных также фильтруется интегрированными системами, такими как брандмауэры, балансировщики нагрузки и ограничители скорости.

Использование специализированного оборудования для защиты системы целесообразно только для крупных организаций. Эти устройства предлагают или сочетают в себе функциональность брандмауэра, балансировщика нагрузки и ограничителя скорости, а также фильтруют или блокируют вредоносный сетевой трафик.