Atacurile ICMP: tot ce trebuie să știți
Publicat: 2023-09-19Nu este de mirare că hackerii se străduiesc să găsească o slăbiciune în orice, de la software-ul simplu la cele mai fundamentale protocoale care stau la baza structurii Internetului așa cum îl cunoaștem noi. Fiind una dintre componentele esențiale ale stivei de protocoale Internet, Protocolul de mesaje de control Internet acționează ca un purtător global de mesaje, transmitend informații vitale despre starea dispozitivelor de rețea și a rețelelor întregi care formează rețeaua mondială.
Deși un instrument de comunicare neprețuit, ICMP devine o cale potențială pentru atacatori de a valorifica punctele slabe inerente designului său. Exploatând încrederea pe care dispozitivele de rețea îl plasează în mesajele ICMP, actorii rău intenționați încearcă să ocolească sistemele de securitate implementate de gazda victimei, provocând întreruperi ale operațiunilor de rețea, ceea ce poate duce în cele din urmă la refuzul serviciului.
Ca grup distinct de atacuri de tip denial of service, atacurile ICMP nu mai sunt un instrument principal în cutia de instrumente a atacatorului. Cu toate acestea, ei continuă să facă ravagii în afacerile online. Atacurile ping flood, atacurile smurf și așa-numitul ping al morții – toate acestea sunt diferite variante ale atacurilor ICMP care pot reprezenta încă o amenințare pentru operațiunile de rețea din întreaga lume.
În acest ghid pentru atacurile ICMP, veți afla ce este ICMP și cum îl folosesc hackerii pentru a provoca refuzul serviciului pentru servere și rețele întregi. Vom aprofunda mecanismele care stau la baza atacurilor ICMP pentru a vă dota cu cunoștințele și instrumentele necesare pentru a vă proteja afacerea de răul pe care îl reprezintă.
Ce este ICMP?
Internet Control Message Protocol, sau ICMP, este un protocol de rețea utilizat de dispozitivele din rețea pentru a comunica informații operaționale între ele. În timp ce ICMP este adesea considerat parte a protocolului IP, deoarece mesajele sale sunt transportate ca încărcare utilă IP, Protocolul pentru mesaje de control Internet se află chiar deasupra și este specificat ca un protocol de nivel superior în datagramele IP. Cu toate acestea, activitatea sa este încă limitată la al treilea strat al suitei de protocoale Internet, cunoscut sub numele de Network Layer.
Fiecare mesaj ICMP are un tip și un câmp de cod care specifică tipul de informații pe care îl transmite și scopul său, precum și o parte a cererii inițiale care a determinat generarea mesajului. De exemplu, dacă gazda de destinație a ajuns să fie inaccesabilă, routerul care nu a reușit să îi transmită cererea inițială va genera un mesaj ICMP de tip trei cod 1, care vă va anunța că nu a putut găsi o cale către serverul specificat.
Pentru ce este folosit ICMP?
De cele mai multe ori, ICMP este folosit pentru a gestiona raportarea erorilor în situațiile în care rețeaua de destinație sau sistemul final nu a putut fi atins. Mesajele de eroare precum „Rețea de destinație inaccesabilă” își au ambele origini în ICMP și vi se vor afișa dacă solicitarea dvs. nu și-a încheiat niciodată călătoria intenționată. Deoarece mesajul ICMP include o parte din cererea originală, sistemul o va mapa cu ușurință către destinația potrivită.
Deși raportarea erorilor este una dintre aplicațiile principale ale Protocolului de mesaje de control al Internetului, ICMP susține funcționalitatea a două instrumente fundamentale de diagnosticare a rețelei – ping și traceroute. Ambele utilități sunt utilizate pe scară largă pentru testarea conectivității rețelei și urmărirea căii de eliminare a rețelelor și a sistemelor finale. Și în timp ce ping și traceroute sunt adesea folosite interschimbabil, metodele lor operaționale diferă semnificativ.
Ping și Traceroute
Ping trimite o serie de mesaje ICMP de tipul cererii ecou, așteptând răspunsuri ecou de la gazda destinație. Dacă fiecare cerere primește un răspuns, Ping va raporta nicio pierdere de pachete între sistemele sursă și destinație. În mod similar, dacă unele dintre mesaje nu ajung niciodată la destinație din cauza congestionării rețelei, utilitarul va raporta acele pachete ca fiind pierdute.
Traceroute are un mecanism mai complex și a fost creat cu un scop diferit. În loc să trimită cereri de eco către gazda dorită, trimite o explozie de pachete IP care ar trebui să expire odată ce ajung la destinația dorită. În acest fel, routerul sau gazda care primește va fi forțat să genereze mesajul ICMP expirat Time to Live (TTL) care va fi trimis înapoi la sursă. După ce a primit mesaje de răspuns ICMP pentru fiecare pachet original, Traceroute va avea numele comutatoarelor de pachete care formează ruta către gazda destinație, împreună cu timpul necesar pachetelor originale pentru a ajunge la fiecare dintre ele.
Ce face ICMP ușor de exploatat?
Întrucât ICMP este limitat la nivelul de rețea al modelului Open Systems Interconnection (OSI), cererile sale nu necesită stabilirea unei conexiuni înainte de a fi transmise, ceea ce este cazul cu handshake-ul în trei căi introdus de TCP și amplificat de TLS cu utilizarea certificatelor SSL/TLS. Acest lucru face posibilă trimiterea cererilor ping către orice sistem, ceea ce, la rândul său, îl face ușor de exploatat.
După cum puteți vedea, deși ICMP s-a dovedit a fi o componentă neprețuită a rețelei globale, a atras și atenția infractorilor cibernetici care au dorit să-l folosească în scopuri rău intenționate. Actorii rău intenționați exploatează punctele slabe prezente în implementarea ICMP pentru a provoca întreruperi rețelelor și gazdelor individuale. Efectuând atacuri ICMP, hackerii transformă ICMP dintr-un instrument vital de diagnosticare a rețelei într-o cauză principală a întreruperilor rețelei.
Atacurile ICMP ca tip de refuz al serviciului (DoS) mai puțin periculos
Atacurile ICMP exploatează capabilitățile Internet Control Message Protocol pentru a copleși rețelele și dispozitivele vizate cu solicitări, provocând așa-numita inundare a lățimii de bandă, o formă de denial of service (DoS) care urmărește să epuizeze capacitatea victimei de a gestiona traficul de intrare. Un atac ICMP poate fi definit ca un atac de tip denial of service care utilizează mesaje ICMP ca instrument principal pentru a perturba operațiunile rețelei.
Atacurile ICMP sunt adesea considerate mai puțin periculoase și mai ușor de apărat decât majoritatea altor tipuri de atacuri de tip denial of service. Și, deși atacurile ICMP pot provoca încă daune semnificative, ele sunt de obicei mai ușor de detectat și atenuat din câteva motive:
- Atacurile ICMP se concentrează pe Stratul de rețea. ICMP operează la un nivel inferior al stivei de protocoale de Internet, iar mesajele ICMP poartă o sarcină utilă mai mică în comparație cu încărcăturile utile mari de date utilizate în alte atacuri de tip denial of service. Acest lucru facilitează identificarea traficului ICMP rău intenționat.
- Atacurile ICMP prezintă modele distinctive. Mesajele ICMP rău intenționate prezintă adesea modele distinctive, cum ar fi un potop de solicitări de eco de la același expeditor sau mesaje de eroare specifice.
- Traficul ICMP este mai ușor de limitat. Administratorii de rețea pot limita sau chiar dezactiva complet traficul ICMP de intrare și de ieșire, ceea ce nu va cauza nicio întrerupere vizibilă a operațiunilor normale.
3 tipuri principale de atacuri ICMP
Cele trei tipuri principale de atacuri ICMP includ ping flood, atacuri Smurf și atacuri ping of death. Fiecare dintre ele utilizează mecanisme distincte, dar principala diferență este tipul de mesaje ICMP pe care le folosesc infractorii cibernetici.
După cum am discutat, cu excepția utilitarului Ping care generează cereri de eco și le direcționează către destinație, mesajele ICMP sunt de obicei generate de sistemul de destinație pentru a alerta sursa unei anumite probleme. În acest fel, în loc să direcționeze o explozie de pachete ICMP către sistemul unei victime, atacatorii pot utiliza tehnici mai sofisticate, cum ar fi transformarea victimei atacului în atacatorul în ochii altei victime.
Să aruncăm o privire mai atentă la fiecare dintre cele mai răspândite trei tipuri de atacuri ICMP și să vedem cum au provocat perturbări masive pe internet înainte ca mecanismele defensive proeminente să fie introduse pe scară largă.
Ping Flood
Ping flood este cea mai simplă și mai răspândită variantă a unui atac ICMP, în care actorii rău intenționați direcționează o cantitate excesivă de solicitări de eco către sistemul sau rețeaua victimei. Simulând activitatea normală a utilitarului Ping, infractorii cibernetici vizează lățimea de bandă a gazdei de destinație.
Odată cu un potop de solicitări ICMP trimise în aceeași direcție, legătura de acces a țintei devine înfundată, împiedicând cu succes traficul legitim să ajungă la destinație. Și întrucât este așteptat un mesaj de răspuns ICMP ecou pentru fiecare solicitare de ecou, un atac ping flood poate duce la o creștere semnificativă a utilizării procesorului, ceea ce poate încetini sistemul final, provocând refuzarea completă a serviciului.
La fel ca în cazul oricărui alt tip de DoS, actorii rău intenționați pot folosi mai multe gazde pentru a efectua un atac ping flood, transformându-l într-un atac distribuit de denial of service (DDoS). Utilizarea mai multor surse de atac nu numai că amplifică efectele atacului, dar îl ajută și pe atacator să evite descoperirea și să-și ascundă identitatea.
Atacurile distribuite de denial of service folosesc de obicei rețele botnet – rețele de puncte finale compromise și dispozitive de rețea controlate de atacator. Rețelele bot sunt create și extinse prin infectarea dispozitivului victimei cu un tip special de malware care va permite proprietarului rețelei bot să controleze de la distanță sistemul compromis. Odată instruit, dispozitivul infectat va începe să copleșească ținta atacului ping flood cu mesaje de solicitare ecou ICMP fără știrea sau acordul proprietarului de drept.
Unul dintre cele mai faimoase atacuri ping flood la scară largă a avut loc în 2002. Infractorii cibernetici au folosit o rețea bot pentru a direcționa încărcături de mesaje de solicitare ecou ICMP către fiecare dintre cele treisprezece servere de nume rădăcină DNS. Din fericire, deoarece comutatoarele de pachete din spatele serverelor de nume erau deja configurate pentru a elimina toate mesajele ping primite, atacul a avut un impact redus sau deloc asupra experienței de internet la nivel global.
Atacul ștrumfilor
Atacurile ștrumf transformă victima în atacatorul perceput, făcând să pară că solicitările de eco ICMP provin dintr-o sursă diferită. Falsificarea adresei expeditorului, atacatorii direcționează un număr mare de mesaje ICMP către o rețea sau rețele de dispozitive, în speranța că răspunsurile ecou vor copleși gazda victimei reale - sistemul specificat ca sursă în cererile ping originale.
Atacurile ștrumfilor au fost odată considerate o amenințare majoră pentru rețelele de computere datorită potențialului lor imens de distrugere. Cu toate acestea, de acum, acest vector de atac este rar utilizat și este, în general, considerat o vulnerabilitate abordată. Acest lucru se datorează faptului că majoritatea absolută a filtrelor de pachete vor arunca automat mesajele ICMP către o adresă de difuzare, ceea ce înseamnă că sunt direcționate către toate dispozitivele din rețeaua de destinație. Specificarea unei astfel de reguli va împiedica utilizarea rețelei într-un atac Smurf de denial of service, ceea ce o va pune capăt efectiv.
Ping al morții
În timp ce atacurile ping flood și smurf sunt considerate atacuri de denial of service bazate pe volum, ping of death este un atac de vulnerabilitate menit să facă sistemul victimei inoperabil prin trimiterea de mesaje ICMP bine concepute către destinație. Acest atac ICMP este considerat mai puțin răspândit decât celelalte două atacuri DoS pe care le-am discutat anterior. Cu toate acestea, are cel mai mare potențial de distrugere.
Mesajele ICMP sunt transportate în datagrame IP, care pot avea o dimensiune limitată. Trimiterea unui mesaj malformat sau supradimensionat către o gazdă poate avea ca rezultat o depășire a memoriei și, potențial, o prăbușire completă a sistemului. Oricât de periculos ar suna, majoritatea sistemelor moderne sunt echipate cu mijloace suficiente pentru a detecta astfel de anomalii, împiedicând mesajele ICMP malformate să ajungă la destinație.
Cum se detectează și se atenuează un atac ICMP?
Hackerii nu aleg ce site-uri web și servere să vizeze, mai ales în cazul atacurilor DDoS la scară largă. Dacă vă întrebați „De ce mi-ar ataca un hacker site-ul web?”, este important să rețineți că, indiferent de motiv, a avea cunoștințele pentru a atenua atacurile ICMP este esențială pentru menținerea securității prezenței dvs. online.
Atenuarea atacurilor ICMP, în special în cazul unei inundații ping, nu diferă de atenuarea altor tipuri de atacuri de tip denial of service. Cheia este identificarea traficului rău intenționat și blocarea sursei acestuia, interzicând efectiv accesul atacatorilor la server.
Cu toate acestea, rareori va trebui să observați și să analizați manual traficul de rețea, deoarece majoritatea soluțiilor de securitate, de la filtrele de pachete fără stat tradiționale la sistemele avansate de detectare a intruziunilor (IDS) sunt configurate din fabricație pentru a limita traficul ICMP și pentru a atenua eficient atacurile ICMP. Datorită progresului soluțiilor moderne de securitate, inundațiile ping și alte tipuri de atacuri ICMP nu mai reprezintă o amenințare majoră pentru servere și site-uri web.
Cum să vă apărați împotriva atacurilor ICMP?
O strategie eficientă de apărare împotriva atacurilor ICMP începe cu implementarea unor reguli puternice de filtrare a pachetelor, care includ limitarea ratei sau chiar dezactivarea completă a traficului ICMP de intrare și de ieșire. În timp ce blocarea tuturor mesajelor ICMP de la intrarea și ieșirea din server va face imposibilă urmărirea rutei către server și ca cererile ping să ajungă vreodată la el, va avea puțin sau deloc efect asupra operațiunilor serverului și site-ului.
Cel mai adesea, traficul ICMP de ieșire este restricționat implicit de firewall-uri software, așa că există șanse mari ca furnizorul dvs. de găzduire să fi făcut deja acest lucru pentru dvs. Toate soluțiile de găzduire complet gestionate oferite de LiquidWeb și Nexcess vin cu reguli puternice de firewall, care vor necesita puține sau deloc ajustări pentru a se apăra împotriva atacurilor ICMP.
În general, dacă doriți să lăsați serverul detectabil în rețeaua globală de către utilitatile Ping și Traceroute, puteți alege să limitați cererile ping de intrare și de ieșire. Configurația implicită pe care o au majoritatea firewall-urilor software este limitarea numărului de solicitări de eco ICMP primite la una pe secundă pentru fiecare adresă IP, ceea ce este un bun punct de plecare.
O modalitate excelentă de a vă apăra serverul împotriva inundațiilor ping și a altor atacuri ICMP este utilizarea unei rețele de livrare de conținut (CDN). CND-urile moderne implementează reguli puternice de firewall și efectuează o inspecție profundă a pachetelor, reducând semnificativ numărul de solicitări rău intenționate care ajung la serverul dvs. În cazul atacurilor ICMP, chiar și seturile de reguli de firewall implicite implementate de CDN vor ajuta la apărarea eficientă împotriva atacurilor ICMP.
Protejați-vă site-ul WordPress cu iThemes Security Pro
Exploatând implementarea Internet Control Message în stiva de protocoale, infractorii cibernetici pot transforma o componentă fundamentală a Internetului într-o armă periculoasă folosită pentru a face ravagii atât în afaceri, cât și în indivizi. Atacurile ICMP, cum ar fi atacurile ping flood sau smurf, urmăresc să provoace o refuz de serviciu prin copleșirea gazdei țintă sau a dispozitivului de rețea cu un potop sau mesaje ICMP rău intenționate. Utilizarea rețelelor botnet și falsificarea adresei sursă îi ajută pe hackeri să facă atacurile ICMP și mai eficiente și să le mărească semnificativ potențialul de distrugere.
Din fericire, atacurile ICMP nu mai reprezintă o amenințare majoră pentru site-uri web și servere, deoarece soluțiile moderne de securitate oferă mecanisme defensive excelente care ajută la prevenirea și atenuarea cu succes a inundațiilor de ping. Atacurile ICMP pot fi considerate mai puțin periculoase decât alte atacuri de denial of service (DoS) care vizează stratul de aplicație al stivei de protocol.
iThemes Security Pro și BackupBuddy vă asigură că rămâneți cu un pas înaintea amenințărilor la adresa securității cibernetice, păstrându-vă WordPress protejat în orice moment. Cu programe flexibile de backup și restaurări cu un singur clic, poți fi sigur că o copie curată și funcțională a site-ului tău WordPress este stocată în siguranță într-o locație de la distanță, unde hackerii nu pot ajunge. Protecția avansată cu forța brută, autentificarea cu mai mulți factori, monitorizarea integrității fișierelor și scanarea vulnerabilităților vor reduce semnificativ suprafața de atac și vă vor ajuta să atenuați cu ușurință orice amenințări.
Cel mai bun plugin de securitate WordPress pentru a securiza și proteja WordPress
WordPress alimentează în prezent peste 40% din toate site-urile web, așa că a devenit o țintă ușoară pentru hackerii cu intenții rău intenționate. Pluginul iThemes Security Pro elimină presupunerile din securitatea WordPress pentru a facilita securizarea și protejarea site-ului dvs. WordPress. Este ca și cum ai avea în personal un expert în securitate cu normă întreagă care monitorizează și protejează constant site-ul tău WordPress pentru tine.
Kiki are o diplomă de licență în managementul sistemelor informatice și mai mult de doi ani de experiență în Linux și WordPress. În prezent lucrează ca specialist în securitate pentru Liquid Web și Nexcess. Înainte de asta, Kiki a făcut parte din echipa de asistență Liquid Web Managed Hosting, unde a ajutat sute de proprietari de site-uri WordPress și a aflat ce probleme tehnice întâmpină adesea. Pasiunea ei pentru scris îi permite să-și împărtășească cunoștințele și experiența pentru a ajuta oamenii. Pe lângă tehnologie, lui Kiki îi place să învețe despre spațiu și să asculte podcasturi despre crime adevărate.