Ataki ICMP: wszystko, co musisz wiedzieć
Opublikowany: 2023-09-19Nic dziwnego, że hakerzy starają się znaleźć słabe punkty we wszystkim, od prostego oprogramowania po najbardziej podstawowe protokoły leżące u podstaw struktury Internetu, jaki znamy. Jako jeden z podstawowych elementów stosu protokołów internetowych, protokół komunikatów kontroli Internetu działa jako globalny nośnik wiadomości, przekazując istotne informacje o stanie urządzeń sieciowych i całych sieci tworzących ogólnoświatową sieć.
Chociaż protokół ICMP jest nieocenionym narzędziem komunikacyjnym, staje się potencjalną drogą dla atakujących wykorzystania słabości nieodłącznie związanych z jego konstrukcją. Wykorzystując zaufanie urządzeń sieciowych umieszczane w wiadomościach ICMP, szkodliwi aktorzy próbują ominąć systemy bezpieczeństwa wdrożone przez hosta ofiary, powodując zakłócenia w operacjach sieciowych, co ostatecznie może skutkować odmową usługi.
Jako odrębna grupa ataków typu „odmowa usługi”, ataki ICMP nie są już głównym narzędziem w zestawie narzędzi atakującego. Jednak nadal sieją spustoszenie w firmach internetowych. Ataki ping-flood, ataki smurf i tak zwany ping śmierci – wszystkie są różnymi odmianami ataków ICMP, które nadal mogą stanowić zagrożenie dla operacji sieciowych na całym świecie.
W tym przewodniku po atakach ICMP dowiesz się, czym jest protokół ICMP i w jaki sposób hakerzy wykorzystują go do powodowania odmowy usług dla serwerów i całych sieci. Zagłębimy się w mechanizmy leżące u podstaw ataków ICMP, aby wyposażyć Cię w niezbędną wiedzę i narzędzia do ochrony Twojej firmy przed szkodami, jakie wyrządzają.
Co to jest ICMP?
Internet Control Message Protocol (ICMP) to protokół sieciowy używany przez urządzenia sieciowe do wzajemnego przekazywania informacji operacyjnych. Chociaż protokół ICMP jest często uważany za część protokołu IP, ponieważ jego komunikaty są przenoszone jako ładunek IP, protokół komunikatów kontroli Internetu znajduje się tuż nad nim i jest określany jako protokół wyższej warstwy w datagramach IP. Jednak jego aktywność nadal ogranicza się do trzeciej warstwy zestawu protokołów internetowych, znanej jako warstwa sieciowa.
Każdy komunikat ICMP ma typ i pole kodu, które określają typ przesyłanej informacji i jego cel, a także część pierwotnego żądania, które spowodowało wygenerowanie komunikatu. Na przykład, jeśli host docelowy okaże się nieosiągalny, router, któremu nie udało się przekazać do niego pierwotnego żądania, wygeneruje komunikat ICMP typu trzy-kodowy, informujący, że nie mógł znaleźć ścieżki do określonego serwera.
Do czego służy protokół ICMP?
W większości przypadków protokół ICMP jest używany do obsługi raportowania błędów w sytuacjach, gdy nie można uzyskać dostępu do sieci docelowej lub systemu końcowego. Obydwa komunikaty o błędach, takie jak „Sieć docelowa nieosiągalna”, mają swoje źródło w protokole ICMP i będą wyświetlane, jeśli Twoje żądanie nigdy nie zakończyło zamierzonej podróży. Ponieważ wiadomość ICMP zawiera część pierwotnego żądania, system z łatwością zamapuje ją na właściwe miejsce docelowe.
Chociaż raportowanie błędów jest jednym z głównych zastosowań protokołu Internet Control Message Protocol, protokół ICMP wspiera funkcjonalność dwóch podstawowych narzędzi diagnostycznych sieci – ping i traceroute. Obydwa narzędzia są szeroko stosowane do testowania łączności sieciowej i śledzenia ścieżki usuwania sieci i systemów końcowych. I chociaż ping i traceroute są często używane zamiennie, ich metody działania znacznie się różnią.
Ping i Traceroute
Ping wysyła serię komunikatów ICMP typu żądanie echa, oczekując odpowiedzi echa od hosta docelowego. Jeśli każde żądanie otrzyma odpowiedź, Ping nie zgłosi utraty pakietów pomiędzy systemem źródłowym i docelowym. Podobnie, jeśli niektóre wiadomości nigdy nie dotrą do miejsca docelowego z powodu przeciążenia sieci, narzędzie zgłosi te pakiety jako utracone.
Traceroute ma bardziej złożony mechanizm i został stworzony w innym celu. Zamiast wysyłać żądania echa do zamierzonego hosta, wysyła serię pakietów IP, które powinny wygasnąć po dotarciu do zamierzonego miejsca docelowego. W ten sposób router lub host odbierający będzie zmuszony wygenerować komunikat ICMP o upływie czasu wygaśnięcia (TTL), który zostanie odesłany do źródła. Po otrzymaniu komunikatów odpowiedzi ICMP dla każdego oryginalnego pakietu, Traceroute będzie dysponował nazwami przełączników pakietów tworzących trasę do hosta docelowego, wraz z czasem potrzebnym oryginalnym pakietom na dotarcie do każdego z nich.
Co sprawia, że ICMP jest łatwy do wykorzystania?
Ponieważ ICMP jest ograniczony do warstwy sieciowej modelu Open Systems Interconnection (OSI), jego żądania nie wymagają nawiązania połączenia przed transmisją, co ma miejsce w przypadku trójstronnego uzgadniania wprowadzonego przez protokół TCP i wzmocnionego przez TLS z wykorzystanie certyfikatów SSL/TLS. Umożliwia to wysyłanie żądań ping do dowolnego systemu, co z kolei ułatwia wykorzystanie luki.
Jak widać, chociaż protokół ICMP sprawdził się jako nieoceniony element globalnej sieci, przyciągnął także uwagę cyberprzestępców, którzy chcieli go wykorzystać do szkodliwych celów. Złośliwi aktorzy wykorzystują słabości obecne w implementacji protokołu ICMP, aby powodować zakłócenia w sieciach i poszczególnych hostach. Wykonując ataki ICMP, hakerzy przekształcają protokół ICMP z istotnego narzędzia diagnostycznego sieci w pierwotną przyczynę awarii sieci.
Ataki ICMP jako mniej niebezpieczny rodzaj odmowy usługi (DoS)
Ataki ICMP wykorzystują możliwości protokołu Internet Control Message Protocol do zasypywania docelowych sieci i urządzeń żądaniami, powodując tak zwane zalewanie przepustowości, czyli formę odmowy usługi (DoS), której celem jest wyczerpanie zdolności ofiary do obsługi ruchu przychodzącego. Atak ICMP można zdefiniować jako atak typu „odmowa usługi”, w którym komunikaty ICMP są głównym narzędziem zakłócania działania sieci.
Ataki ICMP są często uważane za mniej niebezpieczne i łatwiejsze do obrony niż większość innych typów ataków typu „odmowa usługi”. I chociaż ataki ICMP mogą nadal powodować znaczne szkody, zazwyczaj łatwiej je wykryć i złagodzić z kilku powodów:
- Ataki ICMP skupiają się na warstwie sieciowej. ICMP działa na niższym poziomie stosu protokołów internetowych, a komunikaty ICMP przenoszą mniejszy ładunek w porównaniu z ładunkami wymagającymi dużej ilości danych używanymi w innych atakach typu „odmowa usługi”. Ułatwia to identyfikację złośliwego ruchu ICMP.
- Ataki ICMP wykazują charakterystyczne wzorce. Złośliwe wiadomości ICMP często wykazują charakterystyczne wzorce, takie jak zalew żądań echa od tego samego nadawcy lub określone komunikaty o błędach.
- Ruch ICMP jest łatwiejszy do ograniczenia. Administratorzy sieci mogą ograniczyć lub nawet całkowicie wyłączyć przychodzący i wychodzący ruch ICMP, co nie spowoduje zauważalnych zakłóceń w normalnym działaniu.
3 główne typy ataków ICMP
Trzy główne typy ataków ICMP obejmują ping Flood, ataki Smurf i ataki ping of death. Każdy z nich wykorzystuje odrębne mechanizmy, ale główna różnica polega na typach komunikatów ICMP wykorzystywanych przez cyberprzestępców.
Jak już wspomnieliśmy, z wyjątkiem narzędzia Ping, które generuje żądania echa i kieruje je do miejsca docelowego, komunikaty ICMP są zwykle generowane przez system docelowy w celu ostrzeżenia źródła określonego problemu. W ten sposób zamiast kierować serię pakietów ICMP w stronę systemu ofiary, napastnicy mogą zastosować bardziej wyrafinowane techniki, takie jak uczynienie ofiary ataku atakującym w oczach innej ofiary.
Przyjrzyjmy się bliżej każdemu z trzech najpowszechniejszych typów ataków ICMP i zobaczmy, w jaki sposób powodowały one ogromne zakłócenia w Internecie, zanim powszechnie wprowadzono znaczące mechanizmy obronne.
Powódź pingów
Ping Flood to najprostsza i najbardziej rozpowszechniona odmiana ataku ICMP, podczas którego złośliwi aktorzy kierują nadmierną liczbę żądań echa do systemu lub sieci ofiary. Symulując normalną aktywność narzędzia Ping, cyberprzestępcy atakują przepustowość hosta docelowego.
W przypadku zalewu żądań ICMP wysyłanych w tym samym kierunku łącze dostępowe obiektu docelowego zostaje zatkane, skutecznie uniemożliwiając przedostanie się legalnego ruchu do miejsca docelowego. Ponieważ na każde żądanie echa oczekiwana jest odpowiedź na echo ICMP, atak typu ping Flood może prowadzić do znacznego wzrostu użycia procesora, co może spowolnić system końcowy, powodując pełną odmowę usługi.
Podobnie jak w przypadku każdego innego typu DoS, szkodliwi aktorzy mogą wykorzystać wiele hostów do przeprowadzenia ataku typu ping Flood, zamieniając go w rozproszony atak typu „odmowa usługi” (DDoS). Korzystanie z wielu źródeł ataku nie tylko wzmacnia skutki ataku, ale także pomaga atakującemu uniknąć wykrycia i ukryć swoją tożsamość.
Rozproszone ataki typu „odmowa usługi” zazwyczaj wykorzystują botnety – sieci zaatakowanych punktów końcowych i urządzeń sieciowych kontrolowanych przez osobę atakującą. Botnety powstają i rozwijają się poprzez infekowanie urządzenia ofiary specjalnym rodzajem złośliwego oprogramowania, które umożliwia właścicielowi botnetu zdalne kontrolowanie zaatakowanego systemu. Po otrzymaniu instrukcji zainfekowane urządzenie zacznie przytłaczać cel ataku ping Flood komunikatami z żądaniem echa ICMP bez wiedzy i zgody prawowitego właściciela.
Jeden z najsłynniejszych ataków typu ping Flood na dużą skalę miał miejsce w 2002 roku. Cyberprzestępcy wykorzystali botnet do kierowania ciężarówek komunikatów z żądaniem echa ICMP do każdego z trzynastu głównych serwerów nazw DNS. Na szczęście, ponieważ przełączniki pakietów za serwerami nazw zostały już skonfigurowane tak, aby odrzucały wszystkie przychodzące komunikaty ping, atak miał niewielki lub żaden wpływ na globalne korzystanie z Internetu.
Atak Smerfów
Ataki Smurf zmieniają ofiarę w domniemanego atakującego, sprawiając wrażenie, że żądania echa ICMP pochodzą z innego źródła. Fałszując adres nadawcy, napastnicy kierują dużą liczbę komunikatów ICMP do sieci lub sieci urządzeń w nadziei, że odpowiedzi echa przeciążą host prawdziwej ofiary – system określony jako źródło w oryginalnych żądaniach ping.
Ataki Smurfami były kiedyś uważane za główne zagrożenie dla sieci komputerowych ze względu na ich ogromny potencjał zniszczenia. Jednak obecnie ten wektor ataku jest rzadko używany i ogólnie uważa się go za lukę, którą należy usunąć. Wynika to z faktu, że zdecydowana większość filtrów pakietów automatycznie odrzuca komunikaty ICMP kierowane na adres rozgłoszeniowy, co oznacza, że są one kierowane do wszystkich urządzeń w sieci docelowej. Określenie takiej reguły zapobiegnie wykorzystaniu sieci w ataku typu „odmowa usługi” Smurf, co skutecznie go zakończy.
Ping Śmierci
Podczas gdy ataki ping Flood i Smurf są uważane za ataki typu „odmowa usługi” oparte na wolumenie, ping of death to atak wykorzystujący lukę, mający na celu uniemożliwienie działania systemu ofiary poprzez wysłanie dobrze spreparowanych komunikatów ICMP do miejsca docelowego. Ten atak ICMP jest uważany za mniej powszechny niż dwa pozostałe ataki DoS, które omówiliśmy wcześniej. Niemniej jednak ma największy potencjał zniszczenia.
Komunikaty ICMP są przenoszone w datagramach IP, które mogą mieć ograniczony rozmiar. Wysłanie zniekształconej lub zbyt dużej wiadomości do hosta może spowodować przepełnienie pamięci i potencjalnie pełną awarię systemu. Choć brzmi to niebezpiecznie, większość nowoczesnych systemów jest wyposażona w wystarczające środki do wykrywania takich anomalii, zapobiegając dotarciu zniekształconych komunikatów ICMP do miejsca docelowego.
Jak wykryć i złagodzić atak ICMP?
Hakerzy nie wybierają, na jakie strony internetowe i serwery będą celem, zwłaszcza w przypadku ataków DDoS na dużą skalę. Jeśli zastanawiasz się: „Dlaczego haker miałby zaatakować moją witrynę?”, ważne jest, aby pamiętać, że niezależnie od powodu, posiadanie wiedzy pozwalającej na ograniczenie ataków ICMP jest niezbędne do utrzymania bezpieczeństwa Twojej obecności w Internecie.
Ograniczanie ataków ICMP, zwłaszcza w przypadku zalewu pingów, nie różni się od łagodzenia innych typów ataków typu „odmowa usługi”. Kluczem jest identyfikacja szkodliwego ruchu i blokowanie jego źródła, skutecznie uniemożliwiając atakującym dostęp do serwera.
Jednak rzadko zachodzi potrzeba ręcznej obserwacji i analizowania ruchu sieciowego, ponieważ większość rozwiązań bezpieczeństwa, od tradycyjnych bezstanowych filtrów pakietów po zaawansowane systemy wykrywania włamań (IDS), jest konfigurowanych od razu po wyjęciu z pudełka, aby ograniczać szybkość ruchu ICMP i skutecznie łagodzić ataki ICMP. Dzięki rozwojowi nowoczesnych rozwiązań bezpieczeństwa, powodzie pingów i inne rodzaje ataków ICMP nie stanowią już większego zagrożenia dla serwerów i stron internetowych.
Jak bronić się przed atakami ICMP?
Skuteczna strategia obrony przed atakami ICMP zaczyna się od wdrożenia silnych reguł filtrowania pakietów, które obejmują ograniczanie szybkości, a nawet całkowite wyłączanie przychodzącego i wychodzącego ruchu ICMP. Chociaż blokowanie wszystkich komunikatów ICMP wchodzących i wychodzących z serwera uniemożliwi śledzenie trasy do serwera i dotarcie do niego żądań ping, będzie to miało niewielki lub żaden wpływ na działanie serwera i witryny internetowej.
Najczęściej wychodzący ruch ICMP jest domyślnie ograniczany przez zapory programowe, więc istnieje duża szansa, że Twój dostawca usług hostingowych zrobił to już za Ciebie. Wszystkie w pełni zarządzane rozwiązania hostingowe oferowane przez LiquidWeb i Nexcess są wyposażone w potężne reguły zapory ogniowej, które nie będą wymagały żadnych dostosowań w celu ochrony przed atakami ICMP.
Ogólnie rzecz biorąc, jeśli chcesz, aby Twój serwer był wykrywalny w sieci globalnej przez narzędzia Ping i Traceroute, możesz wybrać ograniczenie szybkości przychodzących i wychodzących żądań ping. Domyślna konfiguracja większości zapór programowych ogranicza liczbę przychodzących żądań echa ICMP do jednego na sekundę dla każdego adresu IP, co jest dobrym punktem wyjścia.
Świetnym sposobem na ochronę serwera przed zalewem pingów i innymi atakami ICMP jest użycie sieci dostarczania treści (CDN). Nowoczesne CND wdrażają silne reguły zapory sieciowej i przeprowadzają głęboką inspekcję pakietów, znacznie zmniejszając liczbę złośliwych żądań docierających do Twojego serwera. W przypadku ataków ICMP nawet domyślne zestawy reguł zapory sieciowej wdrożone przez CDN pomogą skutecznie bronić się przed atakami ICMP.
Chroń swoją witrynę WordPress za pomocą iThemes Security Pro
Wykorzystując implementację komunikatu kontroli Internetu w stosie protokołów, cyberprzestępcy mogą przekształcić podstawowy składnik Internetu w niebezpieczną broń używaną do siania spustoszenia zarówno w firmach, jak i osobach prywatnych. Ataki ICMP, takie jak ping Flood lub ataki smurf, mają na celu spowodowanie odmowy usługi poprzez przytłoczenie docelowego hosta lub urządzenia sieciowego zalewem lub złośliwymi komunikatami ICMP. Wykorzystywanie botnetów i fałszowanie adresu źródłowego pomaga hakerom zwiększyć skuteczność ataków ICMP i znacznie zwiększyć ich potencjał zniszczenia.
Na szczęście ataki ICMP nie stanowią już poważnego zagrożenia dla witryn internetowych i serwerów, ponieważ nowoczesne rozwiązania bezpieczeństwa zapewniają doskonałe mechanizmy obronne, które pomagają skutecznie zapobiegać zalewom pingów i je łagodzić. Ataki ICMP można uznać za mniej niebezpieczne niż inne ataki typu „odmowa usługi” (DoS), których celem jest warstwa aplikacji stosu protokołów.
iThemes Security Pro i BackupBuddy zapewniają, że będziesz o krok przed zagrożeniami cyberbezpieczeństwa, zapewniając ciągłą ochronę WordPressa. Dzięki elastycznym harmonogramom tworzenia kopii zapasowych i przywracaniu jednym kliknięciem możesz mieć pewność, że czysta działająca kopia Twojej witryny WordPress jest bezpiecznie przechowywana w zdalnej lokalizacji, gdzie hakerzy nie mogą dotrzeć. Zaawansowana ochrona przed atakami typu brute-force, uwierzytelnianie wieloskładnikowe, monitorowanie integralności plików i skanowanie pod kątem luk w zabezpieczeniach znacznie zmniejszą powierzchnię ataku i pomogą z łatwością złagodzić wszelkie zagrożenia.
Najlepsza wtyczka zabezpieczająca WordPress do zabezpieczania i ochrony WordPressa
WordPress obsługuje obecnie ponad 40% wszystkich stron internetowych, dlatego stał się łatwym celem dla hakerów o złośliwych zamiarach. Wtyczka iThemes Security Pro eliminuje zgadywanie związane z bezpieczeństwem WordPress, ułatwiając zabezpieczanie i ochronę witryny WordPress. To tak, jakby mieć pełnoetatowego eksperta ds. bezpieczeństwa, który stale monitoruje i chroni Twoją witrynę WordPress.
Kiki ma tytuł licencjata w zakresie zarządzania systemami informatycznymi i ponad dwuletnie doświadczenie w Linuxie i WordPressie. Obecnie pracuje jako specjalista ds. bezpieczeństwa w Liquid Web i Nexcess. Wcześniej Kiki była częścią zespołu wsparcia Liquid Web Managed Hosting, gdzie pomogła setkom właścicieli witryn WordPress i dowiedziała się, z jakimi problemami technicznymi często się spotykają. Jej pasja do pisania pozwala jej dzielić się swoją wiedzą i doświadczeniem, aby pomagać ludziom. Oprócz technologii Kiki lubi poznawać kosmos i słuchać podcastów o prawdziwych kryminałach.