Ping povodeň

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 20. dubna 2018; kontroly vyžadují 6 úprav .

ping flood (z anglického ping-flood , doslova: záplava žádostí) je typ útoku na síťové zařízení, jehož cílem je odmítnutí služby . Klíčovou vlastností (ve srovnání s jinými typy záplavových útoků) je možnost provést útok „domácími prostředky“ (programy a utility, které jsou součástí domácích/kancelářských verzí operačních systémů).

Esence útoku

ICMP zprávu (echo request) zpracovává síťová zařízení vrstvy 3 (a vyšší). Ve většině případů toto zařízení používá software pro směrování a zpracování paketů. V tomto případě požadavek echo vyžaduje, aby zařízení přijalo paket, zpracovalo jej a vygenerovalo / odeslalo paket s odpovědí na požadavek. Objem provedených akcí je v tomto případě mnohonásobně větší než objem práce na směrování běžného paketu. Velikost požadavku ICMP je obvykle malá (asi 64 bajtů, s maximální velikostí paketu IP 64 kbajtů). Výsledkem je, že při formálním udržování malého objemu provozu dochází k přetížení z hlediska počtu paketů a zařízení začne ztrácet zbytek paketů (přes jiná rozhraní nebo protokoly), což je cílem útoku .

Omezení zaplavování ICMP

Někteří poskytovatelé ve smlouvě stanoví omezení rychlosti ICMP paketů jako samostatnou klauzuli, přičemž si vyhrazují právo ukončit poskytování služby v případě záplavy ICMP, která naruší provoz síťových zařízení.

Distribuovaný útok

Při distribuovaném útoku (z několika tisíc uzlů) přicházejí požadavky ICMP obvyklou testovací rychlostí (asi 1 paket za sekundu z uzlu), ale současně z několika tisíc počítačů. V tomto případě může výsledné zatížení zařízení, které je cílem útoku, dosáhnout šířky pásma kanálu (a jistě překročit rychlost zpracování paketů zařízení).

V dubnu 2007 byly webové stránky estonské vlády vystaveny distribuovanému útoku ICMP (v souvislosti s událostmi kolem bronzového vojáka ). Jako „zbraň“ útoku byl použit diagnostický nástroj ping , který odeslal paket o velikosti 20 000 bajtů na webovou stránku www.riik.ee. Podle zpráv médií byl útok úspěšný [1] .

V roce 2010 síla jednoho distribuovaného DDoS útoku poprvé přesáhla 100 Gbps [2] .

Protiútok

K odvrácení útoku (kromě blokování provozu z jednotlivých uzlů a sítí) jsou možná následující opatření:

deaktivace odpovědí na požadavky ICMP (deaktivace odpovídajících služeb nebo zamezení odpovědi na určitý typ zprávy) na cílovém systému;
Snížení priority zpracování ICMP zpráv (v tomto případě je veškerý ostatní provoz zpracováván obvyklým způsobem a ICMP požadavky jsou zpracovávány podle reziduálního principu, v případě přetížení ICMP zprávami jsou některé ignorovány).
vypuštění nebo filtrování provozu ICMP pomocí brány firewall .
zvýšení fronty zpracovávaných připojení

Viz také

Odkazy

↑ Hackeři útočí na webové stránky estonské vlády - lenta.ru . Získáno 1. května 2007. Archivováno z originálu 3. května 2007. (neurčitý)
↑ Zpráva o výzkumu bezpečnosti síťové infrastruktury | Arbor Networks . Získáno 2. února 2011. Archivováno z originálu 25. prosince 2010. (neurčitý)