Ataques ICMP: tudo o que você precisa saber

Não é nenhuma surpresa que os hackers se esforcem para encontrar pontos fracos em tudo, desde o simples software até os protocolos mais fundamentais que sustentam a estrutura da Internet como a conhecemos. Como um dos componentes essenciais da pilha de protocolos da Internet, o Internet Control Message Protocol atua como um portador de mensagens global, transmitindo informações vitais sobre o estado dos dispositivos de rede e de redes inteiras que formam a rede mundial de computadores.

Embora seja uma ferramenta de comunicação inestimável, o ICMP torna-se um caminho potencial para os invasores aproveitarem as fraquezas inerentes ao seu design. Explorando a confiança que os dispositivos de rede depositam nas mensagens ICMP, os agentes mal-intencionados tentam contornar os sistemas de segurança implantados pelo host da vítima, causando interrupções nas operações da rede, o que pode resultar em negação de serviço.

Como um grupo distinto de ataques de negação de serviço, os ataques ICMP não são mais a principal ferramenta na caixa de ferramentas do invasor. No entanto, eles continuam causando estragos nos negócios online. Ataques de inundação de ping, ataques de smurf e o chamado ping da morte – todos esses são variações diferentes de ataques ICMP que ainda podem representar uma ameaça às operações de rede em todo o mundo.

Neste guia sobre ataques ICMP, você aprenderá o que é ICMP e como os hackers o utilizam para causar negação de serviço a servidores e redes inteiras. Iremos nos aprofundar nos mecanismos subjacentes aos ataques ICMP para equipá-lo com o conhecimento e as ferramentas necessárias para proteger sua empresa dos danos que eles representam.

O que é ICMP?

O Internet Control Message Protocol, ou ICMP, é um protocolo de rede usado por dispositivos de rede para comunicar informações operacionais entre si. Embora o ICMP seja frequentemente considerado parte do protocolo IP, pois suas mensagens são transportadas como carga útil IP, o Internet Control Message Protocol fica logo acima e é especificado como um protocolo de camada superior em datagramas IP. No entanto, a sua actividade ainda está confinada à terceira camada do conjunto de protocolos da Internet, conhecida como Camada de Rede.

Cada mensagem ICMP possui um campo de tipo e código que especifica o tipo de informação que ela transmite e sua finalidade, bem como uma parte da solicitação original que causou a geração da mensagem. Por exemplo, se o host de destino estiver inacessível, o roteador que não conseguiu passar a solicitação original para ele gerará uma mensagem ICMP tipo três, código um, informando que não foi possível encontrar um caminho para o servidor especificado.

Para que é usado o ICMP?

Na maioria das vezes, o ICMP é usado para lidar com relatórios de erros em situações em que a rede de destino ou o sistema final não foi alcançado. Mensagens de erro como “Rede de destino inacessível” têm origem no ICMP e serão mostradas a você se sua solicitação nunca tiver concluído a jornada pretendida. Como a mensagem ICMP inclui uma parte da solicitação original, o sistema irá mapeá-la facilmente para o destino correto.

Embora o relatório de erros seja uma das principais aplicações do Internet Control Message Protocol, o ICMP sustenta a funcionalidade de duas ferramentas fundamentais de diagnóstico de rede – ping e traceroute. Ambos os utilitários são amplamente utilizados para testar a conectividade de rede e rastrear o caminho para remover redes e sistemas finais. E embora ping e traceroute sejam frequentemente usados ​​de forma intercambiável, seus métodos operacionais diferem significativamente.

Ping e Traceroute

O Ping envia uma série de mensagens ICMP do tipo solicitação de eco, esperando respostas de eco do host de destino. Se cada solicitação receber uma resposta, o Ping não reportará nenhuma perda de pacotes entre os sistemas de origem e de destino. Da mesma forma, se algumas das mensagens nunca chegarem ao seu destino devido ao congestionamento da rede, o utilitário reportará esses pacotes como perdidos.

Traceroute possui um mecanismo mais complexo e foi criado para uma finalidade diferente. Em vez de enviar solicitações de eco ao host pretendido, ele envia uma explosão de pacotes IP que devem expirar assim que chegarem ao destino pretendido. Dessa forma, o roteador ou host receptor será forçado a gerar a mensagem ICMP expirada do Time to Live (TTL) que será enviada de volta à origem. Tendo recebido mensagens de resposta ICMP para cada pacote original, o Traceroute terá os nomes dos comutadores de pacotes que formam a rota para o host de destino, juntamente com o tempo que os pacotes originais levaram para chegar a cada um deles.

O que torna o ICMP fácil de explorar?

Como o ICMP está limitado à camada de rede do modelo Open Systems Interconnection (OSI), suas solicitações não necessitam que uma conexão seja estabelecida antes de serem transmitidas, como é o caso do handshake triplo introduzido pelo TCP e amplificado pelo TLS com o uso de certificados SSL/TLS. Isso torna possível enviar solicitações de ping para qualquer sistema, o que facilita a exploração.

Como você pode ver, embora o ICMP tenha se mostrado um componente inestimável da rede global, ele também atraiu a atenção de cibercriminosos que queriam utilizá-lo para fins maliciosos. Atores maliciosos exploram os pontos fracos presentes na implementação do ICMP para causar perturbações nas redes e nos hosts individuais. Realizando ataques ICMP, os hackers transformam o ICMP de uma ferramenta vital de diagnóstico de rede em uma causa raiz de interrupções de rede.

Ataques ICMP como um tipo menos perigoso de negação de serviço (DoS)

Os ataques ICMP exploram as capacidades do Internet Control Message Protocol para sobrecarregar redes e dispositivos alvo com solicitações, causando a chamada inundação de largura de banda, uma forma de negação de serviço (DoS) que visa esgotar a capacidade da vítima de lidar com o tráfego de entrada. Um ataque ICMP pode ser definido como um ataque de negação de serviço que usa mensagens ICMP como sua principal ferramenta para interromper as operações de rede.

Os ataques ICMP são frequentemente considerados menos perigosos e mais fáceis de defender do que a maioria dos outros tipos de ataques de negação de serviço. E embora os ataques ICMP ainda possam causar danos significativos, normalmente são mais simples de detectar e mitigar por alguns motivos:

• Os ataques ICMP concentram-se na camada de rede. O ICMP opera em um nível inferior da pilha de protocolos da Internet, e as mensagens ICMP carregam uma carga útil menor em comparação com cargas pesadas de dados usadas em outros ataques de negação de serviço. Isso facilita a identificação de tráfego ICMP malicioso.
• Os ataques ICMP exibem padrões distintos. Mensagens ICMP maliciosas geralmente exibem padrões distintos, como uma enxurrada de solicitações de eco do mesmo remetente ou mensagens de erro específicas.
• O tráfego ICMP é mais fácil de limitar. Os administradores de rede podem limitar ou até mesmo desabilitar totalmente o tráfego ICMP de entrada e saída, o que não causará nenhuma interrupção perceptível nas operações normais.

3 tipos principais de ataques ICMP

Os três principais tipos de ataques ICMP incluem ping Flood, ataques Smurf e ataques ping of death. Cada um deles usa mecanismos distintos, mas a principal diferença são os tipos de mensagens ICMP que os cibercriminosos usam.

Conforme discutimos, com exceção do utilitário Ping que gera solicitações de eco e as direciona para o destino, as mensagens ICMP geralmente são geradas pelo sistema de destino para alertar a origem de um determinado problema. Dessa forma, em vez de direcionar uma explosão de pacotes ICMP para o sistema da vítima, os invasores podem utilizar técnicas mais sofisticadas, como tornar a vítima do ataque o invasor aos olhos de outra vítima.

Vamos examinar mais de perto cada um dos três tipos mais comuns de ataques ICMP e ver como eles causaram perturbações massivas na Internet antes que mecanismos defensivos proeminentes fossem amplamente introduzidos.

Inundação de ping

O Ping Flood é a variação mais simples e predominante de um ataque ICMP, no qual atores mal-intencionados direcionam uma quantidade excessiva de solicitações de eco para o sistema ou rede da vítima. Simulando a atividade normal do utilitário Ping, os cibercriminosos visam a largura de banda do host de destino.

Com um dilúvio de solicitações ICMP enviadas na mesma direção, o link de acesso do alvo fica obstruído, impedindo com sucesso que o tráfego legítimo chegue ao destino. E como uma mensagem de resposta de eco ICMP é esperada para cada solicitação de eco, um ataque de inundação de ping pode levar a um aumento significativo no uso da CPU, o que pode desacelerar o sistema final, causando negação total de serviço.

Assim como acontece com qualquer outro tipo de DoS, os agentes mal-intencionados podem empregar vários hosts para realizar um ataque de inundação de ping, transformando-o em um ataque distribuído de negação de serviço (DDoS). O uso de múltiplas fontes de ataque não apenas amplifica os efeitos do ataque, mas também ajuda o invasor a evitar a descoberta e a ocultar sua identidade.

Os ataques distribuídos de negação de serviço normalmente aproveitam botnets – redes de endpoints comprometidos e dispositivos de rede controlados pelo invasor. As botnets são criadas e expandidas infectando o dispositivo da vítima com um tipo especial de malware que permitirá ao proprietário da botnet controlar remotamente o sistema comprometido. Uma vez instruído, o dispositivo infectado começará a sobrecarregar o alvo do ataque de inundação de ping com mensagens de solicitação de eco ICMP sem o conhecimento ou consentimento do legítimo proprietário.

Um dos mais famosos ataques de inundação de ping em grande escala ocorreu em 2002. Os cibercriminosos aproveitaram uma botnet para direcionar caminhões de mensagens de solicitação de eco ICMP para cada um dos treze servidores de nomes raiz DNS. Felizmente, como os comutadores de pacotes por trás dos servidores de nomes já estavam configurados para descartar todas as mensagens de ping recebidas, o ataque teve pouco ou nenhum impacto na experiência global da Internet.

Ataque Smurf

Os ataques Smurf transformam a vítima no suposto invasor, fazendo parecer que as solicitações de eco ICMP vieram de uma fonte diferente. Falsificando o endereço do remetente, os invasores direcionam um grande número de mensagens ICMP para uma rede ou redes de dispositivos na esperança de que as respostas de eco sobrecarreguem o host da vítima real – o sistema especificado como a fonte nas solicitações de ping originais.

Os ataques Smurf já foram considerados uma grande ameaça às redes de computadores devido ao seu imenso potencial de destruição. No entanto, a partir de agora, este vetor de ataque raramente é usado e é geralmente considerado uma vulnerabilidade resolvida. Isso se deve ao fato de que a grande maioria dos filtros de pacotes descartará automaticamente as mensagens ICMP que vão para um endereço de broadcast, o que significa que serão direcionadas a todos os dispositivos na rede de destino. Ter tal regra especificada impedirá que a rede seja usada em um ataque de negação de serviço Smurf, o que efetivamente encerrará a rede.

Ping da Morte

Embora os ataques de inundação de ping e smurf sejam considerados ataques de negação de serviço baseados em volume, o ping da morte é um ataque de vulnerabilidade que visa tornar o sistema da vítima inoperante, enviando mensagens ICMP bem elaboradas para o destino. Este ataque ICMP é considerado menos prevalente do que os outros dois ataques DoS que discutimos anteriormente. No entanto, tem o maior potencial de destruição.

As mensagens ICMP são transportadas em datagramas IP, que podem ter tamanho limitado. Enviar uma mensagem malformada ou superdimensionada para um host pode resultar em estouro de memória e, potencialmente, em uma falha completa do sistema. Por mais perigoso que pareça, a maioria dos sistemas modernos está equipada com meios suficientes para detectar tais anomalias, evitando que mensagens ICMP malformadas cheguem ao seu destino.

Como detectar e mitigar um ataque ICMP?

Os hackers não escolhem quais sites e servidores atacarão, especialmente em ataques DDoS em grande escala. Se você está se perguntando “Por que um hacker atacaria meu site?”, é importante lembrar que independente do motivo, ter o conhecimento para mitigar ataques ICMP é essencial para manter a segurança da sua presença online.

A mitigação de ataques ICMP, especialmente no caso de uma inundação de ping, não difere da mitigação de outros tipos de ataques de negação de serviço. A chave é identificar o tráfego malicioso e bloquear sua origem, negando efetivamente aos invasores o acesso ao servidor.

No entanto, você raramente precisará observar e analisar o tráfego de rede manualmente, pois a maioria das soluções de segurança, desde filtros de pacotes sem estado tradicionais até sistemas avançados de detecção de intrusão (IDS), são configuradas imediatamente para limitar a taxa de tráfego ICMP e mitigar efetivamente os ataques ICMP. Devido ao avanço das soluções de segurança modernas, as inundações de ping e outros tipos de ataques ICMP não representam mais uma grande ameaça aos servidores e sites.

Como se defender contra ataques ICMP?

Uma estratégia de defesa eficaz contra ataques ICMP começa com a implementação de regras fortes de filtragem de pacotes, que incluem limitação de taxa ou até mesmo desativação total do tráfego ICMP de entrada e saída. Embora o bloqueio de todas as mensagens ICMP de entrar e sair do servidor impossibilite o rastreamento da rota até o servidor e que as solicitações de ping cheguem até ele, isso terá pouco ou nenhum efeito nas operações do servidor e do site.

Na maioria das vezes, o tráfego ICMP de saída é restringido por firewalls de software por padrão, portanto, há uma boa chance de que seu provedor de hospedagem já tenha feito isso por você. Todas as soluções de hospedagem totalmente gerenciadas oferecidas pela LiquidWeb e Nexcess vêm com regras de firewall poderosas que exigirão pouco ou nenhum ajuste para defesa contra ataques ICMP.

Geralmente, se desejar deixar seu servidor detectável na rede global pelos utilitários Ping e Traceroute, você pode optar por limitar a taxa de solicitações de ping de entrada e saída. A configuração padrão que a maioria dos firewalls de software possui limita o número de solicitações de eco ICMP recebidas a uma por segundo para cada endereço IP, o que é um bom ponto de partida.

Uma ótima maneira de defender seu servidor contra inundações de ping e outros ataques ICMP é usar uma Content Delivery Network (CDN). Os CNDs modernos implementam regras de firewall rígidas e realizam inspeção profunda de pacotes, reduzindo significativamente o número de solicitações maliciosas que chegam ao seu servidor. No caso de ataques ICMP, até mesmo os conjuntos de regras de firewall padrão implantados pela CDN ajudarão na defesa eficaz contra ataques ICMP.

Proteja seu site WordPress com iThemes Security Pro

Explorando a implementação da Mensagem de Controle da Internet na pilha de protocolos, os cibercriminosos podem transformar um componente fundamental da Internet em uma arma perigosa usada para causar estragos tanto em empresas quanto em indivíduos. Os ataques ICMP, como os ataques ping Flood ou smurf, visam causar uma negação de serviço, sobrecarregando o host ou dispositivo de rede alvo com um dilúvio ou mensagens ICMP maliciosas. Aproveitar botnets e falsificar o endereço de origem ajuda os hackers a tornar os ataques ICMP ainda mais eficazes e a aumentar significativamente seu potencial de destruição.

Felizmente, os ataques ICMP não são mais uma grande ameaça para sites e servidores, pois as soluções de segurança modernas fornecem excelentes mecanismos de defesa que ajudam a prevenir e mitigar inundações de ping. Os ataques ICMP podem ser considerados menos perigosos do que outros ataques de negação de serviço (DoS) que visam a camada de aplicação da pilha de protocolos.

iThemes Security Pro e BackupBuddy garantem que você fique um passo à frente das ameaças de segurança cibernética, mantendo seu WordPress protegido o tempo todo. Com agendamentos de backup flexíveis e restaurações com um clique, você pode ter certeza de que uma cópia de trabalho limpa do seu site WordPress será armazenada com segurança em um local remoto, em algum lugar que os hackers não possam alcançar. Proteção avançada de força bruta, autenticação multifator, monitoramento de integridade de arquivos e verificação de vulnerabilidades reduzirão significativamente a superfície de ataque e ajudarão você a mitigar quaisquer ameaças com facilidade.

O melhor plug-in de segurança WordPress para proteger e proteger o WordPress

Atualmente, o WordPress controla mais de 40% de todos os sites, por isso se tornou um alvo fácil para hackers mal-intencionados. O plugin iThemes Security Pro elimina as suposições sobre a segurança do WordPress para facilitar a segurança e proteção do seu site WordPress. É como ter um especialista em segurança em tempo integral na equipe que monitora e protege constantemente seu site WordPress para você.

Obtenha o iThemes Security Pro

Kiki Sheldon

Kiki é bacharel em gestão de sistemas de informação e tem mais de dois anos de experiência em Linux e WordPress. Atualmente ela trabalha como especialista em segurança para Liquid Web e Nexcess. Antes disso, Kiki fazia parte da equipe de suporte do Liquid Web Managed Hosting, onde ajudou centenas de proprietários de sites WordPress e aprendeu quais problemas técnicos eles frequentemente encontravam. Sua paixão por escrever permite que ela compartilhe seu conhecimento e experiência para ajudar as pessoas. Além da tecnologia, Kiki gosta de aprender sobre o espaço e ouvir podcasts sobre crimes reais.