هجمات ICMP: كل ما تحتاج إلى معرفته
نشرت: 2023-09-19ليس من المستغرب أن يسعى المتسللون جاهدين للعثور على نقطة ضعف في كل شيء، بدءًا من البرامج البسيطة وحتى البروتوكولات الأساسية التي تدعم بنية الإنترنت كما نعرفها. باعتباره أحد المكونات الأساسية لمجموعة بروتوكولات الإنترنت، يعمل بروتوكول رسائل التحكم في الإنترنت كحامل رسائل عالمي، حيث ينقل معلومات حيوية حول حالة أجهزة الشبكة والشبكات بأكملها التي تشكل شبكة الويب العالمية.
على الرغم من أنها أداة اتصال لا تقدر بثمن، إلا أن ICMP تصبح وسيلة محتملة للمهاجمين لاستغلال نقاط الضعف الكامنة في تصميمها. من خلال استغلال أجهزة الشبكة الموثوقة الموجودة في رسائل ICMP، تحاول الجهات الفاعلة الضارة التحايل على أنظمة الأمان التي ينشرها مضيف الضحية، مما يتسبب في تعطيل عمليات الشبكة، مما قد يؤدي في النهاية إلى رفض الخدمة.
باعتبارها مجموعة متميزة من هجمات رفض الخدمة، لم تعد هجمات ICMP أداة أساسية في صندوق أدوات المهاجم. ومع ذلك، فإنهم يواصلون إحداث الفوضى في الأعمال التجارية عبر الإنترنت. هجمات Ping Flood، وهجمات Smurf، وما يسمى بـ Ping of Death - كل هذه أشكال مختلفة من هجمات ICMP التي لا تزال تشكل تهديدًا لعمليات الشبكة في جميع أنحاء العالم.
في هذا الدليل حول هجمات ICMP، ستتعرف على ماهية ICMP وكيف يستخدمها المتسللون للتسبب في رفض الخدمة للخوادم والشبكات بأكملها. سوف نتعمق في الآليات الأساسية لهجمات ICMP لتزويدك بالمعرفة والأدوات اللازمة لحماية عملك من الضرر الذي تسببه.
ما هي اللجنة الدولية لشؤون المفقودين؟
بروتوكول رسائل التحكم بالإنترنت، أو ICMP، هو بروتوكول شبكة تستخدمه أجهزة الشبكة لتوصيل المعلومات التشغيلية لبعضها البعض. في حين أن ICMP غالبًا ما يعتبر جزءًا من بروتوكول IP حيث يتم نقل رسائله كحمولة IP، فإن بروتوكول رسائل التحكم في الإنترنت يقع في الأعلى مباشرة ويتم تحديده كبروتوكول الطبقة العليا في مخططات بيانات IP. ومع ذلك، لا يزال نشاطها محصوراً في الطبقة الثالثة من مجموعة بروتوكولات الإنترنت، المعروفة باسم طبقة الشبكة.
تحتوي كل رسالة ICMP على نوع وحقل رمز يحدد نوع المعلومات التي تنقلها والغرض منها، بالإضافة إلى جزء من الطلب الأصلي الذي تسبب في إنشاء الرسالة. على سبيل المثال، إذا انتهى الأمر بعدم إمكانية الوصول إلى المضيف الوجهة، فسيقوم جهاز التوجيه الذي فشل في تمرير الطلب الأصلي إليه بإنشاء رسالة واحدة من رمز ICMP من النوع الثالث لإعلامك بأنه لم يتمكن من العثور على مسار إلى الخادم الذي حددته.
ما هو استخدام ICMP؟
في معظم الأحيان، يتم استخدام ICMP لمعالجة الإبلاغ عن الأخطاء في المواقف التي يفشل فيها الوصول إلى الشبكة الوجهة أو النظام النهائي. تعود أصول رسائل الخطأ مثل "شبكة الوجهة غير قابلة للوصول" إلى ICMP وسيتم عرضها لك إذا لم يكمل طلبك الرحلة المقصودة مطلقًا. وبما أن رسالة ICMP تتضمن جزءًا من الطلب الأصلي، فسيقوم النظام بسهولة بتعيينه إلى الوجهة الصحيحة.
على الرغم من أن الإبلاغ عن الأخطاء يعد أحد التطبيقات الأساسية لبروتوكول رسائل التحكم في الإنترنت، إلا أن ICMP يدعم وظيفة أداتين أساسيتين لتشخيص الشبكة - ping وtraceroute. يتم استخدام كلا الأداتين المساعدتين على نطاق واسع لاختبار اتصال الشبكة وتتبع المسار لإزالة الشبكات والأنظمة النهائية. وعلى الرغم من استخدام ping وtraceroute غالبًا بالتبادل، إلا أن أساليب التشغيل الخاصة بهما تختلف بشكل كبير.
بينغ وتتبع المسار
يرسل Ping سلسلة من رسائل ICMP من نوع طلب الارتداد، متوقعًا ردود الارتداد من المضيف الوجهة. إذا تلقى كل طلب استجابة، فسيقوم Ping بالإبلاغ عن عدم فقدان الحزمة بين نظامي المصدر والوجهة. وبالمثل، إذا لم تصل بعض الرسائل إلى وجهتها مطلقًا بسبب ازدحام الشبكة، فستقوم الأداة بالإبلاغ عن فقدان هذه الحزم.
لدى Traceroute آلية أكثر تعقيدًا وتم إنشاؤها لغرض مختلف. بدلاً من إرسال طلبات صدى إلى المضيف المقصود، فإنه يرسل مجموعة من حزم IP التي يجب أن تنتهي صلاحيتها بمجرد وصولها إلى الوجهة المقصودة. بهذه الطريقة، سيتم إجبار جهاز التوجيه أو المضيف المتلقي على إنشاء رسالة ICMP منتهية الصلاحية (TTL) والتي سيتم إرسالها مرة أخرى إلى المصدر. بعد تلقي رسائل استجابة ICMP لكل حزمة أصلية، سيكون لدى Traceroute أسماء محولات الحزم التي تشكل المسار إلى المضيف الوجهة، بالإضافة إلى الوقت الذي استغرقته الحزم الأصلية للوصول إلى كل منها.
ما الذي يجعل ICMP سهل الاستغلال؟
نظرًا لأن ICMP يقتصر على طبقة الشبكة لنموذج الاتصال البيني للأنظمة المفتوحة (OSI)، فإن طلباته لا تتطلب إنشاء اتصال قبل إرساله، كما هو الحال مع المصافحة ثلاثية الاتجاهات التي قدمها TCP وتم تضخيمها بواسطة TLS مع استخدام شهادات SSL/TLS. وهذا يجعل من الممكن إرسال طلبات ping إلى أي نظام، وهذا بدوره يسهل استغلاله.
كما ترون، على الرغم من أن ICMP أثبتت نفسها كعنصر لا يقدر بثمن في الشبكة العالمية، إلا أنها جذبت أيضًا انتباه مجرمي الإنترنت الذين أرادوا استخدامها لأغراض ضارة. تستغل الجهات الفاعلة الخبيثة نقاط الضعف الموجودة في تنفيذ ICMP للتسبب في تعطيل الشبكات والمضيفين الأفراد. من خلال تنفيذ هجمات ICMP، يقوم المتسللون بتحويل ICMP من أداة تشخيص حيوية للشبكة إلى السبب الجذري لانقطاع الشبكة.
هجمات ICMP كنوع أقل خطورة من رفض الخدمة (DoS)
تستغل هجمات ICMP قدرات بروتوكول رسائل التحكم عبر الإنترنت لإغراق الشبكات والأجهزة المستهدفة بالطلبات، مما يتسبب في ما يسمى بغمر النطاق الترددي، وهو شكل من أشكال رفض الخدمة (DoS) يهدف إلى استنفاد قدرة الضحية على التعامل مع حركة المرور الواردة. يمكن تعريف هجوم ICMP على أنه هجوم رفض الخدمة الذي يستخدم رسائل ICMP كأداة أساسية لتعطيل عمليات الشبكة.
غالبًا ما تُعتبر هجمات ICMP أقل خطورة وأسهل في الدفاع عنها مقارنة بمعظم أنواع هجمات حجب الخدمة الأخرى. وعلى الرغم من أن هجمات ICMP لا تزال تسبب أضرارًا كبيرة، إلا أنه عادةً ما يكون اكتشافها وتخفيفها أسهل لعدة أسباب:
- تركز هجمات ICMP على طبقة الشبكة. يعمل ICMP على مستوى أقل من مكدس بروتوكول الإنترنت، وتحمل رسائل ICMP حمولة أصغر مقارنة بحمولات البيانات الثقيلة المستخدمة في هجمات رفض الخدمة الأخرى. وهذا يجعل من السهل التعرف على حركة مرور ICMP الضارة.
- تعرض هجمات ICMP أنماطًا مميزة. غالبًا ما تظهر رسائل ICMP الضارة أنماطًا مميزة، مثل طوفان من طلبات الصدى من نفس المرسل أو رسائل خطأ محددة.
- من الأسهل تقييد حركة مرور ICMP. يمكن لمسؤولي الشبكة تقييد حركة مرور ICMP الواردة والصادرة أو حتى تعطيلها بالكامل، الأمر الذي لن يسبب أي انقطاع ملحوظ في العمليات العادية.
3 أنواع رئيسية من هجمات ICMP
تشمل الأنواع الثلاثة الرئيسية لهجمات ICMP: pingflood، وهجمات Smurf، وهجمات ping of Death. يستخدم كل واحد منهم آليات مختلفة، ولكن الاختلاف الرئيسي هو أنواع رسائل ICMP التي يستخدمها مجرمو الإنترنت.
كما ناقشنا، باستثناء الأداة المساعدة Ping التي تنشئ طلبات صدى وتوجهها نحو الوجهة، عادةً ما يتم إنشاء رسائل ICMP بواسطة نظام الوجهة لتنبيه مصدر مشكلة معينة. وبهذه الطريقة، بدلاً من توجيه دفعة من حزم ICMP نحو نظام الضحية، يمكن للمهاجمين استخدام تقنيات أكثر تعقيدًا، مثل جعل ضحية الهجوم هي المهاجم في عيون ضحية أخرى.
دعونا نلقي نظرة فاحصة على كل نوع من الأنواع الثلاثة الأكثر انتشارًا لهجمات ICMP ونرى كيف تسببت في تعطيل هائل للإنترنت قبل تقديم آليات دفاعية بارزة على نطاق واسع.
فيضان بينغ
يعد Pingflood هو الشكل الأبسط والأكثر انتشارًا لهجوم ICMP، حيث تقوم الجهات الفاعلة الخبيثة بتوجيه كمية كبيرة من طلبات الصدى إلى النظام أو الشبكة الضحية. من خلال محاكاة النشاط العادي لأداة Ping، يستهدف مجرمو الإنترنت النطاق الترددي للمضيف الوجهة.
ومع إرسال طوفان من طلبات ICMP في نفس الاتجاه، يصبح رابط الوصول الخاص بالهدف مسدودًا، مما يؤدي بنجاح إلى منع حركة المرور المشروعة من الوصول إلى الوجهة. وبما أنه من المتوقع ظهور رسالة رد صدى ICMP لكل طلب صدى، فقد يؤدي هجوم تدفق ping إلى زيادة كبيرة في استخدام وحدة المعالجة المركزية، مما قد يؤدي إلى إبطاء النظام النهائي، مما يتسبب في رفض الخدمة بالكامل.
كما هو الحال مع أي نوع آخر من حجب الخدمة، يمكن للجهات الفاعلة الخبيثة توظيف مضيفين متعددين لتنفيذ هجوم فيضان الاتصال، وتحويله إلى هجوم رفض الخدمة الموزع (DDoS). لا يؤدي استخدام مصادر هجوم متعددة إلى تضخيم تأثيرات الهجوم فحسب، بل يساعد المهاجم أيضًا على تجنب اكتشافه وإخفاء هويته.
عادةً ما تستخدم هجمات رفض الخدمة الموزعة شبكات الروبوتات - شبكات نقاط النهاية المخترقة وأجهزة الشبكة التي يتحكم فيها المهاجم. يتم إنشاء شبكات الروبوت وتوسيعها عن طريق إصابة جهاز الضحية بنوع خاص من البرامج الضارة التي ستمكن مالك شبكة الروبوت من التحكم في النظام المخترق عن بُعد. بمجرد صدور التعليمات، سيبدأ الجهاز المصاب في إرباك هدف هجوم ping برسائل طلب صدى ICMP دون معرفة المالك الشرعي أو موافقته.
حدثت واحدة من أشهر هجمات فيضان ping واسعة النطاق في عام 2002. استخدم مجرمو الإنترنت شبكة الروبوتات لتوجيه حمولات الشاحنات من رسائل طلب صدى ICMP إلى كل خادم من خوادم أسماء جذر DNS الثلاثة عشر. ولحسن الحظ، نظرًا لأن مفاتيح تبديل الحزم الموجودة خلف خوادم الأسماء قد تم تكوينها بالفعل لتجاهل جميع رسائل ping الواردة، لم يكن للهجوم أي تأثير يذكر على تجربة الإنترنت العالمية.
هجوم سنفور
تحول هجمات Smurf الضحية إلى مهاجم محتمل من خلال جعلها تبدو وكأن طلبات صدى ICMP تأتي من مصدر مختلف. من خلال انتحال عنوان المرسل، يقوم المهاجمون بتوجيه عدد كبير من رسائل ICMP إلى شبكة أو شبكات من الأجهزة على أمل أن تطغى استجابات الصدى على مضيف الضحية الحقيقي - النظام المحدد كمصدر في طلبات ping الأصلية.
كانت هجمات السنافر تعتبر في السابق تهديدًا كبيرًا لشبكات الكمبيوتر نظرًا لقدرتها الهائلة على التدمير. ومع ذلك، اعتبارًا من الآن، نادرًا ما يتم استخدام ناقل الهجوم هذا ويعتبر عمومًا ثغرة أمنية تمت معالجتها. ويرجع ذلك إلى حقيقة أن الأغلبية المطلقة لمرشحات الحزم ستقوم تلقائيًا بإسقاط رسائل ICMP التي تنتقل إلى عنوان البث، مما يعني أنها موجهة إلى جميع الأجهزة الموجودة على الشبكة الوجهة. سيؤدي تحديد مثل هذه القاعدة إلى منع استخدام الشبكة في هجوم رفض الخدمة Smurf، مما سيؤدي إلى إنهائه فعليًا.
بينغ الموت
في حين أن هجمات فيضان ping وsmurf تعتبر هجمات رفض الخدمة على أساس الحجم، فإن ping of Death عبارة عن هجوم ثغرة أمنية يهدف إلى جعل نظام الضحية غير صالح للعمل عن طريق إرسال رسائل ICMP جيدة الصياغة إلى الوجهة. يعتبر هجوم ICMP هذا أقل انتشارًا من هجومي DoS الآخرين اللذين ناقشناهما سابقًا. ومع ذلك، فإن لديها أكبر احتمال للتدمير.
يتم نقل رسائل ICMP في مخططات بيانات IP، والتي يمكن أن يكون لها حجم محدود. يمكن أن يؤدي إرسال رسالة مشوهة أو كبيرة الحجم إلى المضيف إلى تجاوز سعة الذاكرة، وربما إلى تعطل النظام بالكامل. وبقدر ما يبدو الأمر خطيرًا، فإن معظم الأنظمة الحديثة مجهزة بوسائل كافية لاكتشاف مثل هذه الحالات الشاذة، مما يمنع رسائل ICMP المشوهة من الوصول إلى وجهتها.
كيفية اكتشاف وتخفيف هجوم ICMP؟
لا يختار المتسللون مواقع الويب والخوادم التي يستهدفونها، خاصة في هجمات DDoS واسعة النطاق. إذا كنت تتساءل، "لماذا يهاجم أحد المتسللين موقع الويب الخاص بي؟"، فمن المهم أن تتذكر أنه بغض النظر عن السبب، فإن امتلاك المعرفة اللازمة للتخفيف من هجمات ICMP أمر ضروري للحفاظ على أمان تواجدك عبر الإنترنت.
لا يختلف تخفيف هجمات ICMP، خاصة في حالة تدفق ping، عن تخفيف الأنواع الأخرى من هجمات رفض الخدمة. والمفتاح هو تحديد حركة المرور الضارة وحظر مصدرها، مما يمنع المهاجمين بشكل فعال من الوصول إلى الخادم.
ومع ذلك، نادرًا ما تحتاج إلى مراقبة حركة مرور الشبكة وتحليلها يدويًا، حيث يتم تكوين معظم حلول الأمان، بدءًا من مرشحات الحزم التقليدية عديمة الحالة إلى أنظمة كشف التسلل المتقدمة (IDS) خارج الصندوق لتحديد معدل حركة مرور ICMP والتخفيف من هجمات ICMP بشكل فعال. نظرًا لتقدم الحلول الأمنية الحديثة، لم تعد هجمات ping والأنواع الأخرى من هجمات ICMP تشكل تهديدًا كبيرًا للخوادم ومواقع الويب.
كيفية الدفاع ضد هجمات ICMP؟
تبدأ استراتيجية الدفاع الفعالة ضد هجمات ICMP بتطبيق قواعد قوية لتصفية الحزم، والتي تتضمن تحديد المعدل أو حتى التعطيل الكامل لحركة مرور ICMP الواردة والصادرة. على الرغم من أن منع جميع رسائل ICMP من الدخول إلى الخادم والخروج منه سيجعل من المستحيل تتبع المسار إلى الخادم ولوصول طلبات ping إليه، فلن يكون له تأثير يذكر على عمليات الخادم وموقع الويب.
في أغلب الأحيان، يتم تقييد حركة مرور ICMP الصادرة بواسطة جدران الحماية الخاصة بالبرامج بشكل افتراضي، لذلك هناك فرصة جيدة لأن يكون موفر الاستضافة قد قام بذلك بالفعل نيابةً عنك. جميع حلول الاستضافة المُدارة بالكامل التي تقدمها LiquidWeb وNexcess تأتي مع قواعد جدار الحماية القوية التي لن تتطلب سوى القليل من التعديلات للدفاع ضد هجمات ICMP.
بشكل عام، إذا كنت ترغب في ترك الخادم الخاص بك قابلاً للاكتشاف على الشبكة العالمية من خلال أدوات Ping وTraceroute المساعدة، فيمكنك اختيار تحديد معدل طلبات ping الواردة والصادرة. التكوين الافتراضي الذي تمتلكه معظم برامج جدران الحماية هو تحديد عدد طلبات صدى ICMP الواردة بواحد في الثانية لكل عنوان IP، وهي نقطة بداية جيدة.
هناك طريقة رائعة للدفاع عن خادمك ضد فيضان ping وهجمات ICMP الأخرى وهي استخدام شبكة توصيل المحتوى (CDN). تطبق CNDs الحديثة قواعد جدار الحماية القوية وتجري فحصًا عميقًا للحزم، مما يقلل بشكل كبير من عدد الطلبات الضارة التي تصل إلى الخادم الخاص بك. في حالة هجمات ICMP، فحتى مجموعات قواعد جدار الحماية الافتراضية التي تنشرها شبكة CDN ستساعد بشكل فعال في الدفاع ضد هجمات ICMP.
قم بحماية موقع WordPress الخاص بك باستخدام iThemes Security Pro
من خلال استغلال تنفيذ رسالة التحكم في الإنترنت في حزمة البروتوكول، يمكن لمجرمي الإنترنت تحويل مكون أساسي للإنترنت إلى سلاح خطير يستخدم لإحداث الفوضى في الشركات والأفراد على حد سواء. تهدف هجمات ICMP مثل هجمات Ping Flood أو Smurf إلى التسبب في رفض الخدمة عن طريق إغراق المضيف المستهدف أو جهاز الشبكة برسائل ICMP أو رسائل ضارة. إن الاستفادة من شبكات الروبوت وانتحال عنوان المصدر تساعد المتسللين على جعل هجمات ICMP أكثر فعالية وتزيد بشكل كبير من قدرتها على التدمير.
لحسن الحظ، لم تعد هجمات ICMP تمثل تهديدًا كبيرًا لمواقع الويب والخوادم حيث توفر الحلول الأمنية الحديثة آليات دفاعية رائعة تساعد في منع وتخفيف فيضانات ping بنجاح. يمكن اعتبار هجمات ICMP أقل خطورة من هجمات رفض الخدمة (DoS) الأخرى التي تستهدف طبقة التطبيق الخاصة بمكدس البروتوكول.
يضمن لك iThemes Security Pro وBackupBuddy البقاء متقدمًا بخطوة على تهديدات الأمن السيبراني من خلال الحفاظ على حماية WordPress الخاص بك في جميع الأوقات. من خلال جداول النسخ الاحتياطي المرنة والاستعادة بنقرة واحدة، يمكنك الاطمئنان إلى أن نسخة العمل النظيفة من موقع WordPress الخاص بك يتم تخزينها بأمان في مكان بعيد، في مكان لا يمكن للمتسللين الوصول إليه. ستؤدي الحماية المتقدمة من القوة الغاشمة، والمصادقة متعددة العوامل، ومراقبة سلامة الملفات، وفحص الثغرات الأمنية إلى تقليل سطح الهجوم بشكل كبير وتساعدك على تخفيف أي تهديدات بسهولة.
أفضل مكون إضافي لأمان WordPress لتأمين وحماية WordPress
يشغل WordPress حاليًا أكثر من 40% من جميع مواقع الويب، لذلك أصبح هدفًا سهلاً للمتسللين ذوي النوايا الخبيثة. يزيل المكون الإضافي iThemes Security Pro التخمين بشأن أمان WordPress لتسهيل تأمين وحماية موقع WordPress الخاص بك. إنه مثل وجود خبير أمني بدوام كامل من بين الموظفين الذين يراقبون ويحميون موقع WordPress الخاص بك باستمرار نيابةً عنك.
كيكي حاصل على درجة البكالوريوس في إدارة نظم المعلومات وأكثر من عامين من الخبرة في Linux وWordPress. تعمل حاليًا كأخصائية أمنية في Liquid Web وNexcess. قبل ذلك، كانت Kiki جزءًا من فريق دعم Liquid Web Managed Hosting حيث ساعدت المئات من مالكي مواقع WordPress وتعرفت على المشكلات الفنية التي يواجهونها غالبًا. يتيح لها شغفها بالكتابة مشاركة معرفتها وخبرتها لمساعدة الناس. بصرف النظر عن التكنولوجيا، يستمتع كيكي بالتعرف على الفضاء والاستماع إلى ملفات بودكاست عن الجرائم الحقيقية.