ИЦМП флоод напад је врста напада ускраћивањем услуге (ДоС) који користи Интернет Цонтрол Мессаге Протоцол (ИЦМП) да преплави циљни систем захтевима. Може се користити за циљање и сервера и појединачних радних станица.
Да бисте се заштитили од ИЦМП флоод напада, важно је разумети шта је то и како функционише.
Шта је ИЦМП Флоод напад?
ИЦМП флоод напад, такође познат као пинг флоод напад или смурф напад, је ДДоС (Дистрибутед Дениал оф Сервице) напад на слоју мреже у којем нападач покушава да надјача циљани уређај слањем превелике количине ехо захтева Интернет Цонтрол Мессаге Протоцола (ИЦМП) пакети. Ови пакети се шаљу у брзом низу како би преплавили циљни уређај, чиме се спречава да обрађује легитимни саобраћај. Ова врста напада се често користи у комбинацији са други облици ДДоС напада као део вишевекторског напада.
Циљ може бити или сервер или мрежа у целини. Сам обим ових захтева може довести до преоптерећења циља, што резултира немогућношћу обраде легитимног саобраћаја, прекидом услуга или чак потпуним отказом система.
Већина ИЦМП флоод напада користи технику која се зове "споофинг", где ће нападач послати пакете до циља са лажном изворном адресом за коју се чини да је из поузданог извора. Ово отежава циљу да разликује легитиман и злонамерни саобраћај.
Путем лажирања, нападач шаље велики број ИЦМП ехо захтева до циља. Како сваки захтев стигне, циљ нема другу опцију осим да одговори ИЦМП ехо одговором. Ово може брзо преплавити циљни уређај и узроковати да он не реагује или чак да се сруши.
Коначно, нападач може послати ИЦМП пакете за преусмеравање до циља у покушају да додатно поремети његове табеле рутирања и онемогући комуникацију са другим мрежним чворовима.
Како открити ИЦМП Флоод напад
Постоје одређени знаци који указују да је можда у току ИЦМП-ов напад поплаве.
1. Нагли пораст мрежног саобраћаја
Најчешћи показатељ ИЦМП флоод напада је нагли пораст мрежног саобраћаја. Ово је често праћено великом брзином пакета са једне ИП адресе извора. Ово се лако може пратити у алатима за праћење мреже.
2. Необично висок излазни саобраћај
Још један показатељ ИЦМП флоод напада је необично висок излазни саобраћај са циљног уређаја. Ово је због пакета ехо-одговора који се шаљу назад на нападачеву машину, а који су често већи од оригиналних ИЦМП захтева. Ако приметите саобраћај који је много већи од нормалног на вашем циљном уређају, то би могао бити знак напада у току.
3. Високе брзине пакета са једне ИП адресе
Машина нападача често шаље неуобичајено велики број пакета са једне изворне ИП адресе. Они се могу открити праћењем долазног саобраћаја до циљног уређаја и тражењем пакета који имају изворну ИП адресу са необично великим бројем пакета.
4. Континуирани скокови у кашњењу мреже
Кашњење мреже такође може бити знак ИЦМП флоод напада. Како машина нападача шаље све више и више захтева циљном уређају, време потребно да нови пакети стигну до свог одредишта се повећава. Ово резултира сталним порастом кашњења мреже што може на крају довести до квара система ако се не реши правилно.
5. Повећање искоришћења ЦПУ-а на циљном систему
Коришћење ЦПУ-а циљног система такође може бити индикација ИЦМП флоод напада. Како се све више и више захтева шаље циљном уређају, његов ЦПУ је приморан да ради више како би их све обрадио. Ово резултира изненадним скоком у искоришћености ЦПУ-а који може довести до тога да систем не реагује или чак да се сруши ако се не потврди.
6. Ниска пропусност за легитиман саобраћај
Коначно, ИЦМП флоод напад такође може довести до ниске пропусности за легитиман саобраћај. То је због огромног обима захтева које шаље нападачева машина, што преплављује циљни уређај и спречава га да обради било који други долазни саобраћај.
Зашто је ИЦМП Флоод напад опасан?
ИЦМП флоод напад може проузроковати значајну штету циљном систему. То може довести до загушења мреже, губитка пакета и проблема са кашњењем који могу спречити нормалан саобраћај да стигне до одредишта.
Поред тога, нападач може бити у могућности да добије приступ интерној мрежи циља експлоатацијом безбедносне пропусте у њиховом систему.
Осим тога, нападач може бити у могућности да изврши друге злонамерне активности, као што је слање велике количине нежељених података или покретање дистрибуирани напади ускраћивања услуге (ДДоС). против других система.
Како спречити ИЦМП Флоод напад
Постоји неколико мјера које се могу предузети како би се спријечио ИЦМП напад поплаве.
- Ограничавање брзине: Ограничавање брзине је једна од најефикаснијих метода за спречавање ИЦМП флоод напада. Ова техника подразумева постављање максималног броја захтева или пакета који се могу послати на циљни уређај у одређеном временском периоду. Сви пакети који прелазе ово ограничење ће бити блокирани од стране заштитног зида, спречавајући их да стигну до свог одредишта.
- Заштитни зид и системи за детекцију и превенцију упада: Заштитни зидови и Системи за откривање и превенцију упада (ИДС/ИПС) такође се може користити за откривање и спречавање ИЦМП флоод напада. Ови системи су дизајнирани да надгледају мрежни саобраћај и блокирају сваку сумњиву активност, као што су неуобичајено високе брзине пакета или захтеви који долазе са ИП адреса једног извора.
- Сегментација мреже: Други начин заштите од ИЦМП флоод напада је да сегментирати мрежу. Ово укључује поделу интерне мреже на мање подмреже и стварање заштитних зидова између њих, што може помоћи да се спречи нападач да добије приступ целом систему ако је једна од подмрежа компромитован.
- Верификација изворне адресе: Верификација изворне адресе је још један начин заштите од ИЦМП флоод напада. Ова техника укључује проверу да су пакети који долазе изван мреже заправо са изворне адресе са које тврде да потичу. Сви пакети који не успеју у овој верификацији биће блокирани од стране заштитног зида, спречавајући их да стигну на одредиште.
Заштитите свој систем од ИЦМП Флоод напада
ИЦМП флоод напад може проузроковати значајну штету циљном систему и често се користи као део већег злонамерног напада.
Срећом, постоји неколико мера које можете предузети да спречите ову врсту напада, као што је ограничавање брзине, коришћење заштитних зидова и система за детекцију и превенцију упада, сегментацију мреже и адресу извора верификација. Примена ових мера може помоћи да се обезбеди безбедност вашег система и да се заштити од потенцијалних нападача.