Attacchi ICMP: tutto quello che devi sapere

Pubblicato: 2023-09-19

Non sorprende che gli hacker si sforzino di trovare un punto debole in ogni cosa, dal semplice software ai protocolli più fondamentali che sono alla base della struttura di Internet come la conosciamo. Essendo uno dei componenti essenziali dello stack di protocolli Internet, l'Internet Control Message Protocol funge da vettore di messaggi globale, trasmettendo informazioni vitali sullo stato dei dispositivi di rete e di intere reti che formano la rete mondiale.

Sebbene sia uno strumento di comunicazione inestimabile, l'ICMP diventa una potenziale via per gli aggressori per sfruttare le debolezze inerenti alla sua progettazione. Sfruttando la fiducia che i dispositivi di rete ripongono nei messaggi ICMP, gli autori malintenzionati tentano di aggirare i sistemi di sicurezza implementati dall'host della vittima, causando interruzioni delle operazioni di rete, che alla fine possono portare a una negazione del servizio.

Essendo un gruppo distinto di attacchi Denial of Service, gli attacchi ICMP non sono più lo strumento principale a disposizione dell'aggressore. Tuttavia, continuano a devastare le attività online. Attacchi Ping Flood, attacchi smurf e il cosiddetto ping of death: sono tutte diverse varianti degli attacchi ICMP che possono ancora rappresentare una minaccia per le operazioni di rete in tutto il mondo.

In questa guida agli attacchi ICMP imparerai cos'è l'ICMP e come gli hacker lo utilizzano per causare negazioni di servizio a server e intere reti. Approfondiremo i meccanismi alla base degli attacchi ICMP per fornirti le conoscenze e gli strumenti necessari per proteggere la tua azienda dai danni che rappresentano.

attacco ICMP

Cos'è l'ICMP?

Internet Control Message Protocol, o ICMP, è un protocollo di rete utilizzato dai dispositivi di rete per comunicare tra loro informazioni operative. Mentre l'ICMP è spesso considerato parte del protocollo IP poiché i suoi messaggi vengono trasportati come payload IP, l'Internet Control Message Protocol si trova appena sopra ed è specificato come protocollo di livello superiore nei datagrammi IP. Tuttavia, la sua attività è ancora limitata al terzo livello della suite di protocolli Internet, noto come Network Layer.

Ogni messaggio ICMP ha un tipo e un campo codice che specificano il tipo di informazioni che trasmette e il suo scopo, nonché una parte della richiesta originale che ha causato la generazione del messaggio. Ad esempio, se l'host di destinazione risulta essere irraggiungibile, il router che non è riuscito a trasmettergli la richiesta originale genererà un messaggio ICMP di tipo tre codice uno informandoti che non è riuscito a trovare un percorso per il server specificato.

A cosa serve l'ICMP?

Nella maggior parte dei casi, l'ICMP viene utilizzato per gestire la segnalazione degli errori in situazioni in cui non è stato possibile raggiungere la rete di destinazione o il sistema finale. Messaggi di errore come "Rete di destinazione non raggiungibile" hanno entrambi origine in ICMP e ti verranno mostrati se la tua richiesta non ha mai completato il percorso previsto. Poiché il messaggio ICMP include una parte della richiesta originale, il sistema lo mapperà facilmente alla destinazione corretta.

Sebbene la segnalazione degli errori sia una delle applicazioni principali dell'Internet Control Message Protocol, ICMP supporta la funzionalità di due strumenti diagnostici di rete fondamentali: ping e traceroute. Entrambe le utilità sono ampiamente utilizzate per testare la connettività di rete e tracciare il percorso per rimuovere reti e sistemi finali. E sebbene ping e traceroute siano spesso usati in modo intercambiabile, i loro metodi operativi differiscono in modo significativo.

Ping e Traceroute

Ping invia una serie di messaggi ICMP del tipo echo request, aspettando risposte echo dall'host di destinazione. Se ogni richiesta riceve una risposta, Ping non segnalerà alcuna perdita di pacchetti tra il sistema di origine e quello di destinazione. Allo stesso modo, se alcuni messaggi non raggiungono mai la destinazione a causa della congestione della rete, l'utilità segnalerà tali pacchetti come persi.

Traceroute ha un meccanismo più complesso ed è stato creato per uno scopo diverso. Invece di inviare richieste di eco all'host previsto, invia una serie di pacchetti IP che dovrebbero scadere una volta raggiunta la destinazione prevista. In questo modo, il router o l'host ricevente sarà costretto a generare il messaggio ICMP scaduto Time to Live (TTL) che verrà rispedito alla fonte. Dopo aver ricevuto i messaggi di risposta ICMP per ciascun pacchetto originale, Traceroute avrà i nomi degli switch di pacchetto che formano il percorso verso l'host di destinazione, insieme al tempo impiegato dai pacchetti originali per raggiungere ciascuno di essi.

Cosa rende l’ICMP facile da sfruttare?

Poiché l'ICMP è limitato al livello di rete del modello Open Systems Interconnection (OSI), le sue richieste non richiedono che venga stabilita una connessione prima di essere trasmesse, come nel caso dell'handshake a tre vie introdotto da TCP e amplificato da TLS con l'uso di certificati SSL/TLS. Ciò rende possibile inviare richieste ping a qualsiasi sistema, il che a sua volta lo rende facile da sfruttare.

Come potete vedere, sebbene l'ICMP si sia dimostrato un componente inestimabile della rete globale, ha anche attirato l'attenzione dei criminali informatici che volevano utilizzarlo per scopi dannosi. Gli autori malintenzionati sfruttano i punti deboli presenti nell'implementazione dell'ICMP per causare interruzioni alle reti e ai singoli host. Eseguendo attacchi ICMP, gli hacker trasformano l'ICMP da uno strumento diagnostico di rete vitale a una causa principale delle interruzioni della rete.

Attacchi ICMP come tipo di Denial of Service (DoS) meno pericoloso

Gli attacchi ICMP sfruttano le capacità dell'Internet Control Message Protocol per sopraffare le reti e i dispositivi presi di mira con richieste, causando il cosiddetto consumo di larghezza di banda, una forma di negazione del servizio (DoS) che mira a esaurire la capacità della vittima di gestire il traffico in entrata. Un attacco ICMP può essere definito come un attacco di negazione del servizio che utilizza i messaggi ICMP come strumento principale per interrompere le operazioni di rete.

Gli attacchi ICMP sono spesso considerati meno pericolosi e da cui è più facile difendersi rispetto alla maggior parte degli altri tipi di attacchi Denial of Service. E sebbene gli attacchi ICMP possano comunque causare danni significativi, in genere sono più semplici da rilevare e mitigare per alcuni motivi:

  • Gli attacchi ICMP si concentrano sul livello di rete. L'ICMP opera a un livello inferiore dello stack di protocolli Internet e i messaggi ICMP trasportano un carico utile inferiore rispetto ai carichi pesanti di dati utilizzati in altri attacchi di negazione del servizio. Ciò semplifica l'identificazione del traffico ICMP dannoso.
  • Gli attacchi ICMP mostrano modelli distintivi. I messaggi ICMP dannosi spesso presentano modelli distintivi, come un diluvio di richieste echo provenienti dallo stesso mittente o messaggi di errore specifici.
  • Il traffico ICMP è più facile da limitare. Gli amministratori di rete possono limitare o addirittura disabilitare completamente il traffico ICMP in entrata e in uscita, senza causare alcuna interruzione evidente alle normali operazioni.

3 principali tipi di attacchi ICMP

I tre tipi principali di attacchi ICMP includono ping Flood, attacchi Smurf e attacchi ping of death. Ciascuno di essi utilizza meccanismi distinti, ma la differenza principale risiede nel tipo di messaggi ICMP utilizzati dai criminali informatici.

Come abbiamo discusso, ad eccezione dell'utilità Ping che genera richieste di eco e le indirizza verso la destinazione, i messaggi ICMP vengono solitamente generati dal sistema di destinazione per avvisare l'origine di un determinato problema. In questo modo, invece di dirigere un'esplosione di pacchetti ICMP verso il sistema della vittima, gli aggressori possono utilizzare tecniche più sofisticate, come trasformare la vittima dell'attacco nell'aggressore agli occhi di un'altra vittima.

Diamo un'occhiata più da vicino a ciascuno dei tre tipi più diffusi di attacchi ICMP e vediamo come hanno causato enormi interruzioni a Internet prima che venissero ampiamente introdotti importanti meccanismi difensivi.

Ping Flood

Il Ping Flood è la variante più semplice e diffusa di un attacco ICMP, in cui gli autori malintenzionati indirizzano una quantità eccessiva di richieste echo al sistema o alla rete della vittima. Simulando la normale attività dell'utilità Ping, i criminali informatici prendono di mira la larghezza di banda dell'host di destinazione.

Con un diluvio di richieste ICMP inviate nella stessa direzione, il collegamento di accesso del bersaglio si intasa, impedendo con successo al traffico legittimo di raggiungere la destinazione. Inoltre, poiché per ogni richiesta di eco è previsto un messaggio di risposta echo ICMP, un attacco ping Flood può portare a un aumento significativo dell'utilizzo della CPU, che può rallentare il sistema finale, causando una completa negazione del servizio.

Proprio come con qualsiasi altro tipo di DoS, gli autori malintenzionati possono utilizzare più host per eseguire un attacco ping Flood, trasformandolo in un attacco DDoS (Distributed Denial of Service). L'utilizzo di più fonti di attacco non solo amplifica gli effetti dell'attacco, ma aiuta anche l'aggressore a evitare di essere scoperto e a nascondere la propria identità.

Gli attacchi di negazione del servizio distribuiti in genere sfruttano le botnet: reti di endpoint compromessi e dispositivi di rete controllati dall'aggressore. Le botnet vengono create ed espanse infettando il dispositivo della vittima con uno speciale tipo di malware che consentirà al proprietario della botnet di controllare da remoto il sistema compromesso. Una volta istruito, il dispositivo infetto inizierà a sopraffare il bersaglio dell'attacco ping Flood con messaggi di richiesta echo ICMP all'insaputa o senza il consenso del legittimo proprietario.

Uno dei più famosi attacchi ping Flood su larga scala ha avuto luogo nel 2002. I criminali informatici hanno sfruttato una botnet per indirizzare carichi di messaggi di richiesta echo ICMP a ciascuno dei tredici server dei nomi root DNS. Fortunatamente, poiché gli switch di pacchetto dietro i name server erano già configurati per scartare tutti i messaggi ping in arrivo, l’attacco ha avuto un impatto minimo o nullo sull’esperienza Internet globale.

Attacco dei Puffi

Gli attacchi Smurf trasformano la vittima nell'aggressore percepito facendo sembrare che le richieste di eco ICMP provenissero da una fonte diversa. Falsificando l'indirizzo del mittente, gli aggressori indirizzano un gran numero di messaggi ICMP a una o più reti di dispositivi nella speranza che le risposte eco travolgano l'host della vittima reale, il sistema specificato come origine nelle richieste ping originali.

Un tempo gli attacchi Smurf erano considerati una grave minaccia per le reti di computer a causa del loro immenso potenziale di distruzione. Tuttavia, al momento, questo vettore di attacco viene utilizzato raramente ed è generalmente considerato una vulnerabilità risolta. Ciò è dovuto al fatto che la maggior parte dei filtri di pacchetto elimina automaticamente i messaggi ICMP diretti a un indirizzo di broadcast, il che significa che vengono indirizzati a tutti i dispositivi sulla rete di destinazione. Avere specificata una regola di questo tipo impedirà che la rete venga utilizzata in un attacco di negazione del servizio Smurf, che ne porrà fine di fatto.

Ping della morte

Mentre gli attacchi ping float e smurf sono considerati attacchi Denial of Service basati sul volume, ping of death è un attacco di vulnerabilità volto a rendere inutilizzabile il sistema vittima inviando messaggi ICMP ben congegnati alla destinazione. Questo attacco ICMP è considerato meno diffuso rispetto agli altri due attacchi DoS di cui abbiamo parlato in precedenza. Tuttavia, ha il maggior potenziale di distruzione.

I messaggi ICMP vengono trasportati in datagrammi IP, che possono avere dimensioni limitate. L'invio di un messaggio non valido o di grandi dimensioni a un host può provocare un overflow della memoria e, potenzialmente, un arresto anomalo dell'intero sistema. Per quanto pericoloso possa sembrare, la maggior parte dei sistemi moderni è dotata di mezzi sufficienti per rilevare tali anomalie, impedendo che i messaggi ICMP malformati raggiungano la loro destinazione.

Come rilevare e mitigare un attacco ICMP?

Gli hacker non scelgono quali siti Web e server prendere di mira, soprattutto negli attacchi DDoS su larga scala. Se ti stai chiedendo: "Perché un hacker dovrebbe attaccare il mio sito web?", è importante ricordare che, indipendentemente dal motivo, avere le conoscenze per mitigare gli attacchi ICMP è essenziale per mantenere la sicurezza della tua presenza online.

La mitigazione degli attacchi ICMP, soprattutto nel caso di un ping Flood, non differisce dalla mitigazione di altri tipi di attacchi Denial of Service. La chiave è identificare il traffico dannoso e bloccarne la fonte, negando di fatto agli aggressori l'accesso al server.

Tuttavia, raramente sarà necessario osservare e analizzare manualmente il traffico di rete poiché la maggior parte delle soluzioni di sicurezza, dai tradizionali filtri di pacchetti stateless ai sistemi avanzati di rilevamento delle intrusioni (IDS), sono configurati immediatamente per limitare il traffico ICMP e mitigare efficacemente gli attacchi ICMP. Grazie al progresso delle moderne soluzioni di sicurezza, i ping Flood e altri tipi di attacchi ICMP non rappresentano più una grave minaccia per server e siti Web.

Come difendersi dagli attacchi ICMP?

Una strategia di difesa efficace contro gli attacchi ICMP inizia con l'implementazione di regole di filtraggio dei pacchetti efficaci, che includono la limitazione della velocità o addirittura la disabilitazione completa del traffico ICMP in entrata e in uscita. Anche se impedire a tutti i messaggi ICMP di entrare e uscire dal server renderà impossibile tracciare il percorso verso il server e consentire alle richieste ping di raggiungerlo, avrà un effetto minimo o nullo sulle operazioni del server e del sito web.

Nella maggior parte dei casi, il traffico ICMP in uscita è limitato dai firewall software per impostazione predefinita, quindi ci sono buone probabilità che il tuo provider di hosting lo abbia già fatto per te. Tutte le soluzioni di hosting completamente gestite offerte da LiquidWeb e Nexcess sono dotate di potenti regole firewall che richiedono modifiche minime o nulle per difendersi dagli attacchi ICMP.

In generale, se desideri lasciare il tuo server rilevabile sulla rete globale dalle utilità Ping e Traceroute, puoi scegliere di limitare le richieste ping in entrata e in uscita. La configurazione predefinita della maggior parte dei firewall software limita il numero di richieste echo ICMP in entrata a una al secondo per ciascun indirizzo IP, il che è un buon punto di partenza.

Un ottimo modo per difendere il tuo server dal ping Flood e da altri attacchi ICMP è utilizzare una rete per la distribuzione di contenuti (CDN). I CND moderni implementano solide regole firewall ed eseguono un'ispezione approfondita dei pacchetti, riducendo significativamente il numero di richieste dannose che raggiungono il tuo server. Nel caso degli attacchi ICMP, anche i set di regole firewall predefiniti distribuiti dalla CDN contribuiranno a difendersi efficacemente dagli attacchi ICMP.

Proteggi il tuo sito Web WordPress con iThemes Security Pro

Sfruttando l'implementazione dell'Internet Control Message nello stack del protocollo, i criminali informatici possono trasformare una componente fondamentale di Internet in un'arma pericolosa utilizzata per devastare aziende e privati. Gli attacchi ICMP come gli attacchi ping float o smurf mirano a causare un rifiuto di servizio sovraccaricando l'host o il dispositivo di rete di destinazione con un diluvio o messaggi ICMP dannosi. Sfruttare le botnet e lo spoofing dell’indirizzo di origine aiuta gli hacker a rendere gli attacchi ICMP ancora più efficaci e ad aumentare significativamente il loro potenziale di distruzione.

Fortunatamente, gli attacchi ICMP non rappresentano più una grave minaccia per siti Web e server poiché le moderne soluzioni di sicurezza forniscono ottimi meccanismi difensivi che aiutano a prevenire e mitigare con successo le inondazioni di ping. Gli attacchi ICMP possono essere considerati meno pericolosi di altri attacchi Denial of Service (DoS) che prendono di mira il livello applicativo dello stack di protocolli.

iThemes Security Pro e BackupBuddy ti assicurano di rimanere un passo avanti rispetto alle minacce alla sicurezza informatica mantenendo il tuo WordPress sempre protetto. Con pianificazioni di backup flessibili e ripristini con un clic, puoi essere certo che una copia funzionante e pulita del tuo sito Web WordPress sarà archiviata in modo sicuro in una posizione remota, dove gli hacker non possono raggiungere. La protezione avanzata dalla forza bruta, l'autenticazione a più fattori, il monitoraggio dell'integrità dei file e la scansione delle vulnerabilità ridurranno significativamente la superficie di attacco e ti aiuteranno a mitigare facilmente qualsiasi minaccia.

Il miglior plugin di sicurezza WordPress per proteggere e proteggere WordPress

WordPress attualmente alimenta oltre il 40% di tutti i siti Web, quindi è diventato un facile bersaglio per gli hacker con intenti dannosi. Il plug-in iThemes Security Pro elimina ogni dubbio dalla sicurezza di WordPress per rendere più semplice la sicurezza e la protezione del tuo sito Web WordPress. È come avere nello staff un esperto di sicurezza a tempo pieno che monitora e protegge costantemente il tuo sito WordPress per te.

Ottieni iThemes Security Pro