Mikä on DDoS IP/ICMP -fragmentointihyökkäys?
Internet Protocol (IP)/Internet Control Message Protocol (ICMP) -fragmentointi DDoS-hyökkäys on yleinen palvelunestohyökkäyksen muoto. Tällaisessa hyökkäyksessä datagrammien fragmentointimekanismeja käytetään ylikuormittamaan verkko.
IP-osien pirstoutuminen tapahtuu, kun IP-datagrammit hajotetaan pieniksi paketeiksi, jotka sitten siirretään verkon yli ja lopulta kootaan uudelleen alkuperäiseksi datasähkeiksi osana normaalia viestintäprosessia. Tämä prosessi on välttämätön, jotta kukin verkko voi käsitellä kokorajoituksia. Tällaista rajaa kuvataan maksimisiirtoyksiköksi (MTU).
Kun paketti on liian suuri, se on jaettava pienempiin osiin, jotta se voidaan lähettää onnistuneesti. Tämän seurauksena lähetetään useita paketteja, joista yksi sisältää kaikki tiedot paketista, mukaan lukien lähde/kohdeportit, pituus jne. Tämä on alkuperäinen fragmentti.
Loput fragmentit sisältävät vain IP-otsikon (IP-otsikko) sekä datan hyötykuorman. Nämä fragmentit eivät sisällä tietoja protokollista, kapasiteetista tai porteista.
Hyökkääjät voivat käyttää IP-osien pirstoutumista viestintäjärjestelmiin ja tietoturvakomponentteihin. ICMP-pohjaiset pirstoutumishyökkäykset lähettävät usein väärennettyjä fragmentteja, joita ei voida eheyttää. Tämä puolestaan aiheuttaa fragmenttien sijoittamisen väliaikaiseen muistiin, mikä vie muistia ja joissakin tapauksissa kuluttaa kaikki käytettävissä olevat muistiresurssit.
Merkkejä IP/ICMP-fragmentoituneesta DDoS-hyökkäyksestä
IP/ICMP-fragmentointi pommittaa kohdetta pirstoutuneilla paketeilla
IP/ICMP-fragmentointi pommittaa kohdetta pirstoutuneilla paketeilla, jolloin se käyttää muistia kaikkien fragmenttien kokoamiseen uudelleen ja kuormittaa kohdeverkon.
Tällaiset hyökkäykset ilmenevät useilla eri tavoilla:
- UDP-tulva - Tämän tyyppisissä DDoS-hyökkäyksissä hyökkääjät käyttävät botnet-verkkoa lähettääkseen suuria määriä fragmentteja useista lähteistä. Monissa tapauksissa vastaanottaja ei näe aloitusfragmenttia (nämä fragmentit menetetään usein saapuvien pakettien kaaokseen). Se näkee vain paljon paketteja ilman protokollan otsikon fragmentteja. Nämä ei-alkuperäiset fragmentit ovat hankalia, koska ne voivat kuulua lailliseen istuntoon, mutta useimmissa tapauksissa ne ovat roskaliikennettä. Vastaanottajalla ei ole aavistustakaan siitä, mikä on laillista ja mikä ei, koska alkuperäinen fragmentti on kadonnut.
- UDP & ICMP Fragmentation DDoS Attack - Tämän tyyppisessä DDoS-hyökkäyksessä lähetetään väärennettyjä UDP- tai ICMP-paketteja. Nämä paketit on suunniteltu näyttämään suuremmilta kuin verkon MTU, mutta vain osa paketista lähetetään tosiasiallisesti. Koska paketit ovat väärennettyjä eikä niitä voi koota uudelleen, palvelimen resurssit kuluvat nopeasti, mikä tekee palvelimesta lopulta laillisen liikenteen käytettävissä.
- DDoS TCP Fragmentation Attack - Tämän tyyppinen DDoS-hyökkäys, joka tunnetaan myös nimellä Teardrop-hyökkäys , kohdistuu TCP/IP:n uudelleenkokoamismekanismeihin. Tässä tapauksessa pirstoutuneita paketteja ei koota uudelleen. Tämän seurauksena datapaketit menevät päällekkäin ja kohdepalvelin ylikuormittuu täysin ja lopulta lakkaa toimimasta.
Miksi IP/ICMP-fragmentointihyökkäykset ovat vaarallisia?
IP/ICMP-fragmentointihyökkäykset ovat erittäin vaarallisia
IP/ICMP-fragmentointihyökkäykset, kuten monet muut DDoS-hyökkäykset, kuormittavat kohdepalvelimen resurssit suurella liikennemäärällä. Tämä DDoS-hyökkäys pakottaa kuitenkin myös kohdepalvelimen käyttämään resursseja pakettien uudelleen kokoamiseen, mikä usein johtaa verkkolaitteiden ja palvelimien kaatumiseen. Lopuksi, koska ei-fragmentoidut fragmentit eivät alun perin sisällä mitään tietoa palvelusta, johon ne kuuluvat, on vaikea päättää, mitkä paketit ovat turvallisia ja mitkä eivät.
Kuinka vähentää ja estää IP/ICMP-fragmentointihyökkäyksiä?
DDoS:n IP/ICMP-fragmentointihyökkäysten estäminen riippuu hyökkäyksen tyypistä ja laajuudesta.
DDoS:n IP/ICMP-fragmentointihyökkäysten estäminen riippuu hyökkäyksen tyypistä ja laajuudesta. Yleisimmät lieventämismenetelmät ovat sen varmistaminen, että haitallisia paketteja estetään pääsemästä kohdeisäntään. Tämä edellyttää saapuvien pakettien tutkimista sen määrittämiseksi, rikkovatko ne pirstoutumissääntöjä.
Yksi mahdollinen palvelunestohyökkäysten lievennysmenetelmä on estää kaikki muut fragmentit kuin aloitusfragmentti, mutta tämä johtaisi ongelmiin kyseisiin fragmentteihin perustuvassa laillisessa liikenteessä. Parempi ratkaisu on käyttää nopeusrajoitusta, joka pudottaa suurimman osan paketeista (sekä hyvät että huonot, koska nopeusrajoitus ei tee eroa niiden välillä) ja hyökätty kohdepalvelin ei vaikuta.
Tämä lähestymistapa saattaa aiheuttaa ongelmia laillisten palveluiden kanssa, jotka perustuvat fragmentteihin, mutta kompromissi voi olla sen arvoista. Ei ole olemassa menetelmää, joka tuo 100% menestystä. Jos käytät palveluita, jotka perustuvat fragmentteihin, kuten DNS, voit lisätä tietyt palvelimet sallittujen luetteloon ja käyttää nopeusrajoitusta muille.
Windowsin palomuuri lisäsuojauksella on palomuuri, joka toimii Windows Server 2012:ssa ja on oletuksena käytössä. Windows Server 2012:n palomuuriasetuksia hallitaan Windowsin palomuurin Microsoft Management Consolessa.
Kun vaihdat Vigor Draytek -modeemin ja reitittimen sisäänkirjautumisen järjestelmänvalvojan sivun salasanan, käyttäjät rajoittavat luvatonta pääsyä modeemin salasanan vaihtamiseen ja suojaavat tärkeitä verkkotietoja.
Onneksi AMD Ryzen -suorittimia käyttävien Windows-tietokoneiden käyttäjät voivat käyttää Ryzen Masteria RAM-muistin ylikellotukseen ilman kosketusta BIOSiin.
USB-C-portista on tullut standardi tiedonsiirrolle, videolähdölle ja lataukselle nykyaikaisissa Windows-kannettavissa. Vaikka tämä on kätevää, se voi olla turhauttavaa, kun liität kannettavan tietokoneen USB-C-laturiin, mutta se ei lataudu.
Ei voi luoda palvelua -virhe Ultraviewerissa ilmenee, kun asennamme ohjelmiston, jonka virhekoodi on 1072.
Virhe, jossa tunnistetta ei näytetä Ultraviewerissa, vaikuttaa etätietokoneeseen.
Ultraviewer ohjaa tietokonetta etänä ja siinä on tila tiedostojen lähettämiseen ja vastaanottamiseen.
Normaalisti, kun tiedosto poistetaan Windowsissa, tiedostoa ei poisteta heti, vaan se tallennetaan roskakoriin. Sen jälkeen sinun on tehtävä vielä yksi vaihe: tyhjennä roskakori. Mutta jos et halua tehdä tätä toista vaihetta, näytämme sinulle, kuinka voit poistaa tiedoston pysyvästi alla olevassa artikkelissa.
Pimeä verkko on salaperäinen paikka, jolla on loistava maine. Pimeän verkon löytäminen ei ole vaikeaa. Turvallisen navigoinnin oppiminen on kuitenkin toinen asia, varsinkin jos et tiedä mitä olet tekemässä tai mitä odottaa.
Teknisesti Adrozek ei ole virus. Se on selaimen kaappaaja, joka tunnetaan myös nimellä selaimen muokkaaja. Tämä tarkoittaa, että tietokoneellesi on asennettu haittaohjelma tietämättäsi.
