DDoS IP/ICMP napad fragmentacijom

Što je DDoS IP/ICMP napad fragmentacijom?

DDoS napad fragmentacijom internetskog protokola (IP)/protokola internetske kontrolne poruke (ICMP) čest je oblik napada uskraćivanjem usluge . U takvom napadu koriste se mehanizmi fragmentacije datagrama kako bi se preplavila mreža.

IP fragmentacija se događa kada se IP datagrami razbiju u male pakete, koji se zatim prenose mrežom i konačno ponovno sastavljaju u originalni datagram, kao dio normalnog komunikacijskog procesa. Ovaj je postupak neophodan kako bi se zadovoljila ograničenja veličine koja svaka mreža može podnijeti. Takvo se ograničenje opisuje kao maksimalna jedinica prijenosa (MTU).

Kada je paket prevelik, mora se podijeliti na manje fragmente kako bi se uspješno prenio. To rezultira slanjem nekoliko paketa, od kojih jedan sadrži sve informacije o paketu, uključujući izvorne/odredišne ​​portove, duljinu itd. Ovo je početni fragment.

Preostali fragmenti uključuju samo IP zaglavlje (IP zaglavlje) plus korisni teret podataka. Ovi fragmenti ne sadrže informacije o protokolima, kapacitetu ili portovima.

Napadači mogu koristiti IP fragmentaciju za ciljanje komunikacijskih sustava, kao i sigurnosnih komponenti. Napadi fragmentacijom temeljeni na ICMP-u često šalju lažne fragmente koji se ne mogu defragmentirati. To zauzvrat uzrokuje smještaj fragmenata u privremenu memoriju, zauzimajući memoriju iu nekim slučajevima iscrpljujući sve raspoložive memorijske resurse.

Znakovi DDoS napada IP/ICMP Fragmentation

IP/ICMP fragmentacija bombardira odredište fragmentiranim paketima

IP/ICMP fragmentacija bombardira odredište fragmentiranim paketima, tjerajući ga da koristi memoriju za ponovno sastavljanje svih fragmenata i preplavi ciljanu mrežu.

Takvi se napadi manifestiraju na nekoliko različitih načina:

- UDP flooding - U ovoj vrsti DDoS napada, napadači koriste botnet za slanje velikih količina fragmenata iz više izvora. U mnogim slučajevima primatelj neće vidjeti početni fragment (ti se fragmenti često izgube u kaosu dolaznih paketa). Vidi samo mnogo paketa bez fragmenata zaglavlja protokola. Ti nepočetni fragmenti su nezgodni jer mogu pripadati legitimnoj sesiji, ali u većini slučajeva bit će neželjeni promet. Primatelj nema pojma koji je legitiman, a koji nije, jer je izvorni fragment izgubljen.

- UDP & ICMP Fragmentation DDoS napad - U ovoj vrsti DDoS napada šalju se lažni UDP ili ICMP paketi. Ovi paketi su dizajnirani da izgledaju kao da su veći od mrežnog MTU-a, ali zapravo se šalju samo dijelovi paketa. Budući da su paketi lažni i ne mogu se ponovno sastaviti, resursi poslužitelja brzo se troše, što na kraju čini poslužitelj nedostupnim legitimnom prometu.

- DDoS TCP Fragmentation Attack - Ova vrsta DDoS napada, također poznata kao Teardrop napad , cilja na TCP/IP mehanizme ponovnog sastavljanja. U tom slučaju, fragmentirani paketi se neće ponovno sastaviti. Kao rezultat toga, paketi podataka se preklapaju i ciljani poslužitelj postaje potpuno preopterećen i na kraju prestaje raditi.

• Što je Ping of Death napad?

Zašto su IP/ICMP napadi fragmentacijom opasni?

IP/ICMP fragmentacijski napadi vrlo su opasni

IP/ICMP napadi fragmentacijom, kao i mnogi drugi DDoS napadi, preopteretiti će resurse ciljnog poslužitelja velikom količinom prometa. Međutim, ovaj DDoS napad također će natjerati ciljni poslužitelj da koristi resurse za ponovno sastavljanje paketa, što često dovodi do pada mrežnih uređaja i poslužitelja. Konačno, budući da nefragmentirani fragmenti u početku ne sadrže nikakve informacije o usluzi kojoj pripadaju, teško je odlučiti koji su paketi sigurni, a koji nisu.

Kako ublažiti i spriječiti IP/ICMP napade fragmentacije?

Pristup sprječavanju DDoS IP/ICMP Fragmentation napada ovisi o vrsti i opsegu napada.

Pristup sprječavanju DDoS IP/ICMP Fragmentation napada ovisi o vrsti i opsegu napada. Najčešće metode ublažavanja uključuju sprječavanje zlonamjernih paketa da dođu do ciljanih računala. To uključuje ispitivanje dolaznih paketa kako bi se utvrdilo krše li pravila fragmentacije.

Jedna potencijalna metoda ublažavanja napada uskraćivanjem usluge je blokiranje svih fragmenata osim početnog fragmenta, ali to bi dovelo do problema s legitimnim prometom koji se oslanja na te fragmente. Bolje rješenje je korištenje ograničenja brzine, koje će odbaciti većinu paketa (i dobrih i loših, budući da ograničenje brzine ne pravi razliku između jednog) i napadnuti ciljni poslužitelj neće biti pogođen.

Ovaj pristup riskira stvaranje problema s legitimnim uslugama koje se oslanjaju na fragmente, ali kompromis se može isplatiti. Ne postoji metoda koja donosi 100% uspjeh. Ako koristite usluge koje se oslanjaju na fragmente, kao što je DNS, možete staviti na popis dopuštenih određene poslužitelje na koje se oslanjate i koristiti ograničenje brzine za ostale.