ICMP Saldırıları: Bilmeniz Gereken Her Şey
Yayınlanan: 2023-09-19Bilgisayar korsanlarının basit yazılımlardan, bildiğimiz şekliyle İnternet'in yapısını destekleyen en temel protokollere kadar her şeyde bir zayıflık bulmaya çalışması şaşırtıcı değil. İnternet protokol yığınının temel bileşenlerinden biri olan İnternet Kontrol Mesajı Protokolü, dünya çapındaki ağı oluşturan ağ cihazlarının ve tüm ağların durumu hakkında hayati bilgileri ileten küresel bir mesaj taşıyıcısı görevi görür.
Paha biçilmez bir iletişim aracı olmasına rağmen ICMP, saldırganların tasarımındaki zayıflıklardan yararlanmaları için potansiyel bir yol haline gelir. Kötü niyetli aktörler, ağ cihazlarının ICMP mesajlarındaki yerini kullanarak, kurbanın ana bilgisayarı tarafından dağıtılan güvenlik sistemlerini aşmaya çalışır ve ağ operasyonlarında kesintilere neden olur ve bu da sonuçta hizmet reddine yol açabilir.
Hizmet reddi saldırılarının ayrı bir grubu olan ICMP saldırıları, artık saldırganın araç kutusundaki birincil araç değildir. Ancak çevrimiçi işletmelere zarar vermeye devam ediyorlar. Ping seli saldırıları, smurf saldırıları ve sözde ölüm pingi; bunların hepsi, dünya çapındaki ağ operasyonları için hala tehdit oluşturabilen ICMP saldırılarının farklı varyasyonlarıdır.
ICMP saldırılarına ilişkin bu kılavuzda, ICMP'nin ne olduğunu ve bilgisayar korsanlarının bunu sunuculara ve tüm ağlara hizmet reddine neden olmak için nasıl kullandığını öğreneceksiniz. İşletmenizi bu saldırıların yol açtığı zararlardan korumak için sizi gerekli bilgi ve araçlarla donatmak amacıyla ICMP saldırılarının altında yatan mekanizmaları derinlemesine inceleyeceğiz.
ICMP nedir?
İnternet Kontrol Mesajı Protokolü veya ICMP, ağ cihazlarının operasyonel bilgileri birbirine iletmek için kullandığı bir ağ protokolüdür. ICMP, mesajları IP yükü olarak taşındığı için genellikle IP protokolünün bir parçası olarak kabul edilirken, İnternet Kontrol Mesajı Protokolü, IP datagramlarında hemen üstünde yer alır ve bir üst katman protokolü olarak belirtilir. Ancak etkinliği hala İnternet protokol paketinin Ağ Katmanı olarak bilinen üçüncü katmanıyla sınırlıdır.
Her ICMP mesajının, ilettiği bilgi türünü ve amacını ve ayrıca mesajın oluşturulmasına neden olan orijinal isteğin bir kısmını belirten bir türü ve kod alanı vardır. Örneğin, hedef ana bilgisayara erişilemez hale gelirse, orijinal isteği kendisine iletemeyen yönlendirici, belirttiğiniz sunucuya giden yolu bulamadığını bildiren bir ICMP tipi üç kod bir mesaj üretecektir.
ICMP Ne İçin Kullanılır?
Çoğu zaman ICMP, hedef ağa veya uç sisteme ulaşılamadığı durumlarda hata raporlamayı gerçekleştirmek için kullanılır. "Hedef ağa ulaşılamıyor" gibi hata mesajlarının kaynağı ICMP'dir ve isteğiniz amaçlanan yolculuğunu hiç tamamlamadıysa size gösterilir. ICMP mesajı orijinal isteğin bir kısmını içerdiğinden, sistem onu kolayca doğru hedefe eşleştirecektir.
Hata raporlama, İnternet Kontrol Mesajı Protokolü'nün birincil uygulamalarından biri olmasına rağmen, ICMP, iki temel ağ teşhis aracının (ping ve traceroute) işlevselliğinin temelini oluşturur. Her iki yardımcı program da ağ bağlantısını test etmek ve ağları ve uç sistemleri kaldırma yolunu izlemek için yaygın olarak kullanılır. Ping ve traceroute sıklıkla birbirinin yerine kullanılsa da operasyonel yöntemleri önemli ölçüde farklılık gösterir.
Ping ve Traceroute
Ping, hedef ana bilgisayardan yankı yanıtları bekleyerek yankı isteği türünde bir dizi ICMP mesajı gönderir. Her istek bir yanıt alırsa Ping, kaynak ve hedef sistemler arasında paket kaybı olmadığını bildirecektir. Benzer şekilde, ağ tıkanıklığı nedeniyle bazı mesajlar hedeflerine asla ulaşmazsa, yardımcı program bu paketleri kayıp olarak bildirecektir.
Traceroute'un daha karmaşık bir mekanizması vardır ve farklı bir amaç için oluşturulmuştur. Amaçlanan ana bilgisayara yankı istekleri göndermek yerine, amaçlanan hedefe ulaştıklarında süresi dolması gereken bir dizi IP paketi gönderir. Bu şekilde, alıcı yönlendirici veya ana bilgisayar, kaynağa geri gönderilecek olan Yaşam Süresi (TTL) süresi dolmuş ICMP mesajını oluşturmaya zorlanacaktır. Her orijinal paket için ICMP yanıt mesajlarını alan Traceroute, orijinal paketlerin her birine ulaşması için geçen sürenin yanı sıra, hedef ana bilgisayara giden yolu oluşturan paket anahtarlarının adlarına da sahip olacaktır.
ICMP'nin Suistimalini Kolaylaştıran Nedir?
ICMP, Açık Sistemler Ara Bağlantısı (OSI) modelinin ağ katmanıyla sınırlı olduğundan, istekleri iletilmeden önce bir bağlantı kurulmasını gerektirmez; bu, TCP tarafından tanıtılan ve TLS tarafından güçlendirilen üç yönlü el sıkışmada olduğu gibi. SSL/TLS sertifikalarının kullanımı. Bu, herhangi bir sisteme ping isteklerinin gönderilmesini mümkün kılar ve bu da kötüye kullanımı kolaylaştırır.
Görebileceğiniz gibi ICMP, küresel ağın paha biçilmez bir bileşeni olarak kendisini kanıtlamış olsa da, onu kötü amaçlarla kullanmak isteyen siber suçluların da dikkatini çekmiştir. Kötü niyetli aktörler, ağların ve bireysel ana bilgisayarların kesintiye uğramasına neden olmak için ICMP'nin uygulanmasındaki mevcut zayıflıklardan yararlanır. ICMP saldırıları gerçekleştiren bilgisayar korsanları, ICMP'yi hayati bir ağ teşhis aracından ağ kesintilerinin temel nedenine dönüştürür.
Daha Az Tehlikeli Bir Hizmet Reddi Türü (DoS) Olarak ICMP Saldırıları
ICMP saldırıları, hedeflenen ağları ve cihazları isteklerle boğmak için İnternet Kontrol Mesajı Protokolü'nün yeteneklerinden yararlanarak, kurbanın gelen trafiği yönetme yeteneğini tüketmeyi amaçlayan bir tür hizmet reddi (DoS) olan sözde bant genişliği taşmasına neden olur. ICMP saldırısı, ağ işlemlerini bozmak için ICMP mesajlarını birincil araç olarak kullanan bir hizmet reddi saldırısı olarak tanımlanabilir.
ICMP saldırılarının genellikle diğer hizmet reddi saldırı türlerine göre daha az tehlikeli olduğu ve bunlara karşı savunmanın daha kolay olduğu düşünülür. ICMP saldırıları hala ciddi hasara neden olabilse de, birkaç nedenden dolayı genellikle tespit edilmesi ve hafifletilmesi daha kolaydır:
- ICMP saldırıları Ağ Katmanına odaklanır. ICMP, İnternet protokol yığınının daha düşük bir seviyesinde çalışır ve ICMP mesajları, diğer hizmet reddi saldırılarında kullanılan veri ağırlıklı verilerle karşılaştırıldığında daha küçük bir veri yükü taşır. Bu, kötü amaçlı ICMP trafiğinin tanımlanmasını kolaylaştırır.
- ICMP saldırıları farklı modeller sergiler. Kötü amaçlı ICMP mesajları genellikle aynı gönderenden gelen yankı istekleri veya belirli hata mesajları gibi farklı modeller sergiler.
- ICMP trafiğini sınırlamak daha kolaydır. Ağ yöneticileri, gelen ve giden ICMP trafiğini sınırlayabilir ve hatta tamamen devre dışı bırakabilir; bu, normal işlemlerde gözle görülür herhangi bir kesintiye neden olmaz.
ICMP Saldırılarının 3 Ana Türü
ICMP saldırılarının üç ana türü arasında ping seli, Şirin saldırıları ve ölüm pingi saldırıları yer alır. Her biri farklı mekanizmalar kullanıyor ancak temel fark, siber suçluların kullandığı ICMP mesajı türleridir.
Tartıştığımız gibi, yankı istekleri üreten ve bunları hedefe yönlendiren Ping yardımcı programı haricinde, ICMP mesajları genellikle hedef sistem tarafından belirli bir sorunun kaynağını uyarmak için oluşturulur. Bu şekilde, saldırganlar bir ICMP paketi patlamasını kurbanın sistemine yönlendirmek yerine, saldırının kurbanını başka bir kurbanın gözünde saldırgan yapmak gibi daha karmaşık teknikler kullanabilirler.
En yaygın üç ICMP saldırısı türüne daha yakından bakalım ve bunların, önde gelen savunma mekanizmaları geniş çapta kullanıma sunulmadan önce internette nasıl büyük bir kesintiye neden olduklarını görelim.
Ping Seli
Ping seli, kötü niyetli aktörlerin kurbanın sistemine veya ağına aşırı miktarda yankı isteği yönlendirdiği ICMP saldırısının en basit ve en yaygın çeşididir. Ping yardımcı programının normal etkinliğini simüle eden siber suçlular, hedef ana bilgisayarın bant genişliğini hedef alır.
Aynı yöne gönderilen çok sayıda ICMP isteğiyle hedefin erişim bağlantısı tıkanır ve meşru trafiğin hedefe ulaşması başarıyla engellenir. Her yankı isteği başına bir ICMP yankı yanıt mesajı beklendiğinden, bir ping seli saldırısı CPU kullanımında önemli bir artışa neden olabilir, bu da son sistemi yavaşlatabilir ve hizmetin tamamen reddedilmesine neden olabilir.
Diğer herhangi bir DoS türünde olduğu gibi, kötü niyetli aktörler bir ping seli saldırısı gerçekleştirmek için birden fazla ana bilgisayar kullanabilir ve bunu dağıtılmış hizmet reddi (DDoS) saldırısına dönüştürebilir. Birden fazla saldırı kaynağı kullanmak yalnızca saldırının etkilerini artırmakla kalmaz, aynı zamanda saldırganın keşfedilmekten kaçınmasına ve kimliğini gizlemesine de yardımcı olur.
Dağıtılmış hizmet reddi saldırıları genellikle botnet'lerden (güvenliği ihlal edilmiş uç nokta ağlarından ve saldırgan tarafından kontrol edilen ağ cihazlarından) yararlanır. Botnet'ler, kurbanın cihazına, botnet sahibinin tehlikeye atılan sistemi uzaktan kontrol etmesini sağlayacak özel bir kötü amaçlı yazılım türü bulaştırılarak oluşturulur ve genişletilir. Talimat verildikten sonra, virüslü cihaz, hak sahibinin bilgisi veya rızası olmadan ICMP yankı isteği mesajlarıyla ping seli saldırısının hedefini aşmaya başlayacaktır.
En ünlü büyük ölçekli ping seli saldırılarından biri 2002 yılında gerçekleşti. Siber suçlular, kamyonlar dolusu ICMP yankı isteği mesajını on üç DNS kök adı sunucusunun her birine yönlendirmek için bir botnet'ten yararlandı. Neyse ki, ad sunucularının arkasındaki paket anahtarları zaten tüm gelen ping mesajlarını atacak şekilde yapılandırılmış olduğundan, saldırının küresel internet deneyimi üzerinde çok az etkisi oldu veya hiç etkisi olmadı.
Şirin Saldırısı
Şirin saldırıları, ICMP yankı isteklerinin farklı bir kaynaktan gelmiş gibi görünmesini sağlayarak kurbanı algılanan saldırgana dönüştürür. Saldırganlar, gönderen adresini taklit ederek, yankı yanıtlarının gerçek kurbanın ana bilgisayarını (orijinal ping isteklerinde kaynak olarak belirtilen sistem) etkilemesi umuduyla çok sayıda ICMP mesajını bir ağa veya cihaz ağlarına yönlendirir.
Şirin saldırıları, muazzam yıkım potansiyelleri nedeniyle bir zamanlar bilgisayar ağları için büyük bir tehdit olarak görülüyordu. Ancak şu an itibariyle bu saldırı vektörü nadiren kullanılıyor ve genellikle ele alınan bir güvenlik açığı olarak değerlendiriliyor. Bunun nedeni paket filtrelerinin büyük çoğunluğunun otomatik olarak bir yayın adresine giden ICMP mesajlarını bırakmasıdır; bu da bunların hedef ağdaki tüm cihazlara yönlendirildiği anlamına gelir. Böyle bir kuralın belirtilmesi, ağın Smurf hizmet reddi saldırısında kullanılmasını önleyecek ve bu da onu etkili bir şekilde sona erdirecektir.
Ölüm Ping'i
Ping seli ve smurf saldırıları, hacim bazlı hizmet reddi saldırıları olarak kabul edilirken, ölüm pingi, hedefe iyi hazırlanmış ICMP mesajları göndererek kurbanın sistemini çalışamaz hale getirmeyi amaçlayan bir güvenlik açığı saldırısıdır. Bu ICMP saldırısının, daha önce tartıştığımız diğer iki DoS saldırısından daha az yaygın olduğu düşünülmektedir. Ancak yıkım potansiyeli en yüksek olanıdır.
ICMP mesajları, sınırlı bir boyuta sahip olabilen IP datagramlarında taşınır. Ana bilgisayara hatalı biçimlendirilmiş veya büyük boyutlu bir ileti göndermek, bellek taşmasına ve potansiyel olarak tüm sistemin çökmesine neden olabilir. Kulağa ne kadar tehlikeli gelse de modern sistemlerin çoğu, bu tür anormallikleri tespit etmek ve hatalı biçimlendirilmiş ICMP mesajlarının hedeflerine ulaşmasını engellemek için yeterli araçlarla donatılmıştır.
ICMP Saldırısı Nasıl Tespit Edilir ve Azaltılır?
Bilgisayar korsanları, özellikle büyük ölçekli DDoS saldırılarında hangi web sitelerini ve sunucuları hedef alacaklarını seçmezler. "Bir bilgisayar korsanı web siteme neden saldırsın?" diye merak ediyorsanız, sebebi ne olursa olsun, ICMP saldırılarını azaltacak bilgiye sahip olmanın çevrimiçi varlığınızın güvenliğini korumak için çok önemli olduğunu unutmamanız önemlidir.
ICMP saldırısının azaltılması, özellikle ping seli durumunda, diğer hizmet reddi saldırılarının azaltılmasından farklı değildir. Önemli olan, kötü niyetli trafiği tanımlamak ve kaynağını engellemek, böylece saldırganların sunucuya erişimini etkili bir şekilde engellemektir.
Bununla birlikte, geleneksel durum bilgisi olmayan paket filtrelerinden gelişmiş izinsiz giriş tespit sistemlerine (IDS) kadar çoğu güvenlik çözümü, ICMP trafiğini sınırlamak ve ICMP saldırılarını etkili bir şekilde azaltmak için kutudan çıktığı gibi yapılandırıldığından, ağ trafiğini manuel olarak gözlemlemeniz ve analiz etmeniz nadiren gerekir. Modern güvenlik çözümlerinin gelişmesi nedeniyle, ping baskınları ve diğer ICMP saldırı türleri artık sunucular ve web siteleri için büyük bir tehdit oluşturmuyor.
ICMP Saldırılarına Karşı Nasıl Savunma Yapılır?
ICMP saldırılarına karşı etkili bir savunma stratejisi, hız sınırlamayı ve hatta gelen ve giden ICMP trafiğini tamamen devre dışı bırakmayı içeren güçlü paket filtreleme kurallarının uygulanmasıyla başlar. Tüm ICMP mesajlarının sunucuya girip çıkmasının engellenmesi, sunucuya giden yolun izlenmesini ve ping isteklerinin sunucuya ulaşmasını imkansız hale getirirken, sunucu ve web sitesi işlemleri üzerinde çok az etkisi olacak veya hiç etkisi olmayacaktır.
Çoğu zaman, giden ICMP trafiği varsayılan olarak yazılım güvenlik duvarları tarafından kısıtlanır, dolayısıyla barındırma sağlayıcınızın bunu zaten sizin için yapmış olma ihtimali yüksektir. LiquidWeb ve Nexcess tarafından sunulan tam olarak yönetilen barındırma çözümlerinin tümü, ICMP saldırılarına karşı savunmak için çok az ayarlama gerektiren veya hiç ayarlama gerektirmeyen güçlü güvenlik duvarı kurallarıyla birlikte gelir.
Genel olarak, sunucunuzu küresel ağda Ping ve Traceroute yardımcı programları tarafından keşfedilebilir bırakmak istiyorsanız, gelen ve giden ping isteklerini derecelendirmeyi sınırlamayı seçebilirsiniz. Çoğu yazılım güvenlik duvarının sahip olduğu varsayılan yapılandırma, gelen ICMP yankı isteklerinin sayısını her IP adresi için saniyede bir ile sınırlamaktır; bu iyi bir başlangıç noktasıdır.
Sunucunuzu ping seline ve diğer ICMP saldırılarına karşı korumanın harika bir yolu İçerik Dağıtım Ağı (CDN) kullanmaktır. Modern CND'ler güçlü güvenlik duvarı kuralları uygular ve derin paket incelemesi gerçekleştirir, böylece sunucunuza ulaşan kötü amaçlı isteklerin sayısını önemli ölçüde azaltır. ICMP saldırıları durumunda, CDN tarafından dağıtılan varsayılan güvenlik duvarı kural setleri bile ICMP saldırılarına karşı etkili bir şekilde savunmaya yardımcı olacaktır.
WordPress Web Sitenizi iThemes Security Pro ile Koruyun
Protokol yığınındaki İnternet Kontrol Mesajının uygulanmasından yararlanan siber suçlular, İnternet'in temel bir bileşenini hem işletmelere hem de bireylere zarar vermek için kullanılan tehlikeli bir silaha dönüştürebilir. Ping seli veya smurf saldırıları gibi ICMP saldırıları, hedef ana bilgisayarı veya ağ cihazını yoğun veya kötü amaçlı ICMP mesajlarıyla bunaltarak hizmet reddine neden olmayı amaçlar. Bot ağlarından yararlanmak ve kaynak adresini taklit etmek, bilgisayar korsanlarının ICMP saldırılarını daha etkili hale getirmesine ve imha potansiyellerini önemli ölçüde artırmasına yardımcı olur.
Neyse ki, modern güvenlik çözümleri ping taşmalarını başarılı bir şekilde önlemeye ve azaltmaya yardımcı olan mükemmel savunma mekanizmaları sağladığından, ICMP saldırıları artık web siteleri ve sunucular için büyük bir tehdit değildir. ICMP saldırıları, protokol yığınının uygulama katmanını hedef alan diğer hizmet reddi (DoS) saldırılarından daha az tehlikeli sayılabilir.
iThemes Security Pro ve BackupBuddy, WordPress'inizi her zaman koruma altında tutarak siber güvenlik tehditlerine karşı bir adım önde kalmanızı sağlar. Esnek yedekleme programları ve tek tıklamayla geri yüklemeler sayesinde, WordPress web sitenizin temiz çalışan bir kopyasının, bilgisayar korsanlarının ulaşamayacağı uzak bir yerde güvenli bir şekilde saklandığından emin olabilirsiniz. Gelişmiş kaba kuvvet koruması, çok faktörlü kimlik doğrulama, dosya bütünlüğü izleme ve güvenlik açığı taraması, saldırı yüzeyini önemli ölçüde azaltacak ve her türlü tehdidi kolaylıkla azaltmanıza yardımcı olacaktır.
WordPress'i Korumak ve Korumak için En İyi WordPress Güvenlik Eklentisi
WordPress şu anda tüm web sitelerinin %40'ından fazlasına güç sağlıyor, bu nedenle kötü niyetli bilgisayar korsanları için kolay bir hedef haline geldi. iThemes Security Pro eklentisi, WordPress web sitenizin güvenliğini sağlamayı ve korumayı kolaylaştırmak için WordPress güvenliğindeki tahminleri ortadan kaldırır. Bu, WordPress sitenizi sizin için sürekli izleyen ve koruyan tam zamanlı bir güvenlik uzmanının kadrosuna sahip olmak gibidir.
Kiki'nin bilgi sistemleri yönetimi alanında lisans derecesi vardır ve Linux ve WordPress'te iki yıldan fazla deneyime sahiptir. Halen Liquid Web ve Nexcess'te güvenlik uzmanı olarak çalışmaktadır. Bundan önce Kiki, Liquid Web Managed Hosting destek ekibinin bir parçasıydı ve burada yüzlerce WordPress web sitesi sahibine yardım etti ve onların sıklıkla karşılaştıkları teknik sorunları öğrendi. Yazmaya olan tutkusu, bilgi ve deneyimini insanlara yardım etmek için paylaşmasına olanak tanıyor. Kiki, teknolojinin yanı sıra uzay hakkında bilgi edinmekten ve gerçek suç podcast'lerini dinlemekten de hoşlanıyor.