Что такое пинг смертельной атаки
Ping of Death (также известный как PoD) - это тип атаки типа «отказ в обслуживании» (DoS), при которой злоумышленник пытается вывести из строя, дестабилизировать или заморозить целевой компьютер или службу, отправив неверно сформированные или слишком большие пакеты с помощью простой команды ping.
В то время как атаки PoD используют устаревшие уязвимости, которые могли быть исправлены в целевых системах. Однако в непропатченных системах атака все еще актуальна и опасна. В последнее время стал популярным новый тип PoD- атаки. Эта атака, широко известная как Ping flood, поражает целевую систему пакетами ICMP, которые быстро отправляются через команду ping, не дожидаясь ответа.
Описание атаки
Размер правильно сформированного пакета IPv4, включая заголовок IP, составляет 65 535 байтов, включая общий размер полезной нагрузки 84 байта. Многие исторические компьютерные системы просто не могли обрабатывать большие пакеты и вылетали бы из строя, если бы получили один. Эта ошибка легко использовалась в ранних реализациях TCP / IP в широком спектре операционных систем, включая Windows, Mac, Unix, Linux, а также в сетевых устройствах, таких как принтеры и маршрутизаторы.
Поскольку отправка пакета ping размером более 65 535 байт нарушает Интернет-протокол, злоумышленники обычно отправляют искаженные пакеты фрагментами. Когда целевая система пытается повторно собрать фрагменты и в итоге получает пакет слишком большого размера, может произойти переполнение памяти, что приведет к различным системным проблемам, включая сбой.
Атаки Ping of Death были особенно эффективны, потому что личность злоумышленника можно было легко подделать. Более того, злоумышленнику Ping of Death не потребуется никаких подробных сведений о машине, которую он / она атаковал, за исключением ее IP-адреса.
Стоит отметить, что эта уязвимость, хотя лучше всего распознается по ее эксплуатации с помощью атак PoD, на самом деле может быть использована чем угодно, отправляющим дейтаграммы IP - эхо ICMP, TCP, UDP и IPX.
Методы смягчения
Чтобы избежать атак Ping of Deatch и их вариантов, многие сайты полностью блокируют сообщения ping ICMP на своих брандмауэрах. Однако в долгосрочной перспективе такой подход нежизнеспособен.
Во-первых, атаки с использованием недопустимых пакетов могут быть направлены на любой порт прослушивания - например, порты FTP - и вы можете не захотеть блокировать все из них по эксплуатационным причинам.
Более того, блокируя сообщения ping, вы предотвращаете законное использование ping - и все еще есть утилиты, которые, например, полагаются на ping для проверки активности соединений.
Imperva смягчает массивный HTTP-поток: 690 000 000 DDoS-запросов с 180 000 IP-адресов ботнетов.
Более разумным подходом будет выборочная блокировка фрагментированных эхо-запросов, позволяющая беспрепятственно проходить фактическому пинговому трафику.
Сервисы DDoS Protection интеллектуально и упреждающе выявляют и фильтруют все аномально большие пакеты, даже если они фрагментированы, что полностью исключает угрозу PoD и подобных атак на основе пакетов.
Ping of Death (также известный как PoD) - это тип атаки типа «отказ в обслуживании» (DoS), при которой злоумышленник пытается вывести из строя, дестабилизировать или заморозить целевой компьютер или службу, отправив неверно сформированные или слишком большие пакеты с помощью простой команды ping.
В то время как атаки PoD используют устаревшие уязвимости, которые могли быть исправлены в целевых системах. Однако в непропатченных системах атака все еще актуальна и опасна. В последнее время стал популярным новый тип PoD- атаки. Эта атака, широко известная как Ping flood, поражает целевую систему пакетами ICMP, которые быстро отправляются через команду ping, не дожидаясь ответа.
Описание атаки
Размер правильно сформированного пакета IPv4, включая заголовок IP, составляет 65 535 байтов, включая общий размер полезной нагрузки 84 байта. Многие исторические компьютерные системы просто не могли обрабатывать большие пакеты и вылетали бы из строя, если бы получили один. Эта ошибка легко использовалась в ранних реализациях TCP / IP в широком спектре операционных систем, включая Windows, Mac, Unix, Linux, а также в сетевых устройствах, таких как принтеры и маршрутизаторы.
Поскольку отправка пакета ping размером более 65 535 байт нарушает Интернет-протокол, злоумышленники обычно отправляют искаженные пакеты фрагментами. Когда целевая система пытается повторно собрать фрагменты и в итоге получает пакет слишком большого размера, может произойти переполнение памяти, что приведет к различным системным проблемам, включая сбой.
Атаки Ping of Death были особенно эффективны, потому что личность злоумышленника можно было легко подделать. Более того, злоумышленнику Ping of Death не потребуется никаких подробных сведений о машине, которую он / она атаковал, за исключением ее IP-адреса.
Стоит отметить, что эта уязвимость, хотя лучше всего распознается по ее эксплуатации с помощью атак PoD, на самом деле может быть использована чем угодно, отправляющим дейтаграммы IP - эхо ICMP, TCP, UDP и IPX.
Методы смягчения
Чтобы избежать атак Ping of Deatch и их вариантов, многие сайты полностью блокируют сообщения ping ICMP на своих брандмауэрах. Однако в долгосрочной перспективе такой подход нежизнеспособен.
Во-первых, атаки с использованием недопустимых пакетов могут быть направлены на любой порт прослушивания - например, порты FTP - и вы можете не захотеть блокировать все из них по эксплуатационным причинам.
Более того, блокируя сообщения ping, вы предотвращаете законное использование ping - и все еще есть утилиты, которые, например, полагаются на ping для проверки активности соединений.
Imperva смягчает массивный HTTP-поток: 690 000 000 DDoS-запросов с 180 000 IP-адресов ботнетов.
Более разумным подходом будет выборочная блокировка фрагментированных эхо-запросов, позволяющая беспрепятственно проходить фактическому пинговому трафику.
Сервисы DDoS Protection интеллектуально и упреждающе выявляют и фильтруют все аномально большие пакеты, даже если они фрагментированы, что полностью исключает угрозу PoD и подобных атак на основе пакетов.
