В современном мире атаки типа «отказ в обслуживании» (DoS) и «распределенный отказ в обслуживании» (DDoS) стали серьезной угрозой для современных компьютерных сетей. DDoS — это тип атаки, при которой злоумышленник нацеливается на сетевые ресурсы жертвы, такие как пропускная способность или память, чтобы жертва могла перестать отвечать на запрос законного пользователя. Злоумышленники обычно пытаются потреблять вычислительные ресурсы, такие как полоса пропускания, время процессора и дисковое пространство, перегружая или переполняя целевую систему, так что она становится недоступной для авторизованных пользователей или просто дает сбой.
Существует множество методов перегрузки или флуда сетевых ресурсов системы, и одним из методов является атака ICMP Flood. При наводнении протокола управляющих сообщений Интернета (ICMP) злоумышленник переполняет вычислительные ресурсы, отправляя множество эхо-запросов ICMP или пакетов проверки связи, чтобы отключить целевую сетевую инфраструктуру, чтобы она стала недоступной для обычного трафика.
ICMP обеспечивает контроль ошибок, поскольку IP не имеет встроенного механизма отправки сообщений об ошибках и управляющих сообщений. Он используется для сообщения об ошибках и запросах управления. Это вспомогательный протокол, который используется сетевыми устройствами, такими как маршрутизаторы, для отправки сообщений об ошибках и информации об операциях.
Описание атаки
В этой атаке сеть жертвы наводнена пакетами запросов ICMP, так что она становится недоступной для законных пользователей, отвечая равным количеством пакетов ответов. Такие инструменты, как «hping» и «scapy», могут использоваться для доставки сетевой цели с пакетами запросов ICMP. Эти инструменты создают большую нагрузку как на входящие, так и на исходящие каналы сети, потребляя значительную часть полосы пропускания, что приводит к отказу в обслуживании.
Во время атаки злоумышленник также может использовать подмену IP-адреса, чтобы замаскировать свою личность, что затрудняет отслеживание DDoS-атак. Пакеты запросов ICMP отправляются как можно быстрее, не дожидаясь ответов от цели.
ICMP Flood
Для практической демонстрации мы используем Kali-Linux (Debian 5.10.13-1kali1) в качестве атакующей машины и нашу Windows 11 в качестве целевой машины. Чтобы запустить ICMP-флуд, нам нужно написать следующую команду:
hping3 --icmp --flood <Target IP Address>
Ниже приведено изображение, показывающее использование сети системой до DDoS-атаки ICMP-флуда.
Ниже приведено изображение, показывающее машину злоумышленника, на которой запущен специальный инструмент hping3 на терминале:
Ниже приведено изображение, показывающее использование сети системой во время DDoS-атаки ICMP Flood на Windows 11:
Ниже приведена картинка, показывающая сетевую активность в Windows 11:
Предотвращение атак ICMP Flood
- Отключив ICMP-функциональность целевой системы, мы можем предотвратить эту атаку. Однако это приведет к отключению всех действий, использующих ICMP, таких как запросы ping, запросы traceroute и другие сетевые действия.
- Это также можно предотвратить, перенастроив брандмауэр, чтобы запретить эхо-запросы. Однако атаки внутри сети не могут быть предотвращены.
- Путем ограничения скорости обработки входящих пакетов ICMP или ограничения допустимого размера запросов ICMP.
