Пинг смерти

Пинг смерти — это атака на компьютерную систему, которая может привести к зависанию или сбою уязвимых систем. К счастью, с 1998 года подобные атаки уже невозможны на большинстве устройств.

Атаки типа «пинг смерти» используют протокол управляющих сообщений Интернета (ICMP), но теоретически могут использоваться и другие протоколы на базе IP. Поскольку современные системы защищены от «пинг смерти», сегодняшние злонамеренные хакеры обычно используют для атак «пинг-флуд».

Ping of death — это атака типа «отказ в обслуживании» (DoS). Чтобы начать атаку, нужно отправить вредоносный пакет данных на цель. Когда пакет данных обрабатывается целевой системой, система сталкивается с ошибкой, которая приводит к ее краху.

Концептуально «пинг смерти» можно сравнить с почтовой бомбой: Если получатель вскрывает пакет, включается механизм, и цель подвергается атаке и в худшем случае уничтожается. Команда ping, от которой атака получила свое название, обычно используется для проверки доступности сети. Она основана на протоколе Internet Control Message Protocol (ICMP), который используется для передачи информации о состоянии сети в Интернете.

Существуют различные атаки, которые попадают под зонтик атак типа «отказ в обслуживании». Ping of death и SYN flood — это атаки по протоколу. Кроме того, существуют атаки на прикладном уровне, например, HTTP floods. И, наконец, объемные атаки наносят ущерб, заливая свою цель потоком данных. К ним относятся пинг-флуд, а также UDP-флуд.

Чтобы осуществить атаку «пинг смерти», сначала создается ICMP-пакет, размер которого превышает допустимый. Для транспортировки пакет разбивается на более мелкие части. Затем, когда его собирают обратно на стороне получателя, превышается максимально допустимый размер. В незащищенных системах это приводит к переполнению буфера памяти, что вызывает зависание или крах системы.

Типичный пакет ICMP «эхо» имеет размер 56 байт. В отличие от него, пакет «ping of death» имеет размер около 65 535 байт, что делает его более чем в тысячу раз больше. Ограничение в 65 535 байт на пакет исходит из базового протокола Интернета (IP).

Для создания пакета ping of death злоумышленник использует команду ping в командной строке. Параметр options имеет решающее значение, поскольку его значение устанавливает размер поля данных ICMP. В системах Windows этот параметр находится в строке «-l» для load. В других системах параметр находится под «-s» для size.

Ping of death в Windows:

Ping of death в Linux/UNIX/macOS:

Ping of death — это атака прошлого. С тех пор, как эта атака была обнаружена в 1997 году, в серверное программное обеспечение и операционные системы были внесены коррективы для обеспечения защиты от нее. Дополнительные проверки гарантируют, что максимальный размер пакетов не будет превышен при компоновке IP-фрагментов. Кроме того, использование буфера памяти большего размера может помочь защитить от страшного переполнения буфера. Приняв эти меры, большинство систем больше не уязвимы для «пинга смерти».

Более того, вредоносные пакеты уже отфильтрованы сетью. Это может происходить на уровне маршрутизаторов и брандмауэров или обеспечиваться сетью доставки контента (CDN). IP-заголовок каждого IP-фрагмента проверяется; каждый фрагмент должен соответствовать требованию «смещение фрагмента + общая длина ≤ 65,535 байт», в противном случае пакет отклоняется.