DDoS IP/ICMP sundrunarárás

Hvað er DDoS IP/ICMP Fragmentation árás?

Internet Protocol (IP)/Internet Control Message Protocol (ICMP) Fragmentation DDoS árás er algeng tegund af neitun á þjónustu árás . Í slíkri árás eru sundurliðunaraðferðir gagnagrams notaðar til að yfirgnæfa netið.

IP sundrun á sér stað þegar IP gagnaskrám er skipt í litla pakka, sem síðan eru sendar yfir netið og loks settir saman aftur í upprunalega gagnaskrána, sem hluti af venjulegu samskiptaferli. Þetta ferli er nauðsynlegt til að uppfylla stærðarmörkin sem hvert net ræður við. Slíkum mörkum er lýst sem hámarksflutningseiningu (MTU).

Þegar pakki er of stór verður að skipta honum í smærri búta til að hægt sé að senda hann. Þetta leiðir til þess að nokkrir pakkar eru sendir, einn inniheldur allar upplýsingar um pakkann, þar á meðal uppruna-/áfangastaðahöfn, lengd osfrv. Þetta er upphafsbrotið.

Brotin sem eftir eru innihalda aðeins IP-haus (IP-haus) auk gagnahleðslu. Þessi brot innihalda ekki upplýsingar um samskiptareglur, getu eða höfn.

Árásarmenn geta notað IP sundrungu til að miða á samskiptakerfi, sem og öryggisíhluti. ICMP byggðar sundrunarárásir senda oft falsa brot sem ekki er hægt að sundra. Þetta veldur aftur því að brot eru sett í tímabundið minni, taka upp minni og í sumum tilfellum tæma allar tiltækar minnisauðlindir.

Merki um IP/ICMP Fragmentation DDoS árás

IP/ICMP Fragmentation sprengir áfangastaðinn með sundurliðuðum pökkum

IP/ICMP Fragmentation sprengir áfangastaðinn með sundurliðuðum pökkum, sem veldur því að það notar minni til að setja saman öll brotin aftur og yfirgnæfa marknetið.

Slíkar árásir koma fram á marga mismunandi vegu:

- UDP flóð - Í þessari tegund af DDoS árás nota árásarmenn botnet til að senda mikið magn af brotum frá mörgum aðilum. Í mörgum tilfellum mun móttakandinn ekki sjá upphafsbrotið (þessi brot glatast oft í ringulreiðinni í pakka sem berast). Það sér bara fullt af pökkum án samskiptahausabrota. Þessi brot sem ekki eru upphafleg eru erfið vegna þess að þau geta tilheyrt lögmætum fundi, en í flestum tilfellum er um ruslumferð að ræða. Viðtakandinn hefur ekki hugmynd um hvað er lögmætt og hver ekki, því upprunalega brotið hefur týnst.

- UDP & ICMP Fragmentation DDoS Attack - Í þessari tegund af DDoS árás eru falsaðir UDP eða ICMP pakkar sendir. Þessir pakkar eru hannaðir til að líta út eins og þeir séu stærri en MTU netkerfisins, en aðeins hlutar pakkans eru í raun sendir. Vegna þess að pakkarnir eru fölsaðir og ekki er hægt að setja saman aftur, eru auðlindir þjónsins fljótt neytt, sem að lokum gerir þjóninn ótiltækan fyrir lögmæta umferð.

- DDoS TCP Fragmentation Attack - Þessi tegund af DDoS árás, einnig þekkt sem Teardrop attack , miðar að TCP/IP endursamsetningaraðferðum. Í þessu tilviki verða sundurliðaðir pakkar ekki settir saman aftur. Fyrir vikið skarast gagnapakkar og miðlarinn verður algjörlega ofhlaðinn og hættir að lokum að virka.

• Hvað er Ping of Death árás?

Af hverju eru IP/ICMP Fragmentation árásir hættulegar?

IP/ICMP sundurliðunarárásir eru mjög hættulegar

IP/ICMP Fragmentation árásir, eins og margar aðrar DDoS árásir, munu gagntaka auðlindir miðþjónsins með miklu umferðarmagni. Hins vegar mun þessi DDoS árás einnig neyða markþjóninn til að nota auðlindir til að reyna að setja saman pakka aftur, sem oft leiðir til þess að nettæki og netþjónar hrynja. Að lokum, vegna þess að brot sem ekki eru brotin, innihalda í upphafi engar upplýsingar um þjónustuna sem þeir tilheyra, er erfitt að ákveða hvaða pakkar eru öruggir og hverjir ekki.

Hvernig á að draga úr og koma í veg fyrir IP/ICMP Fragmentation árásir?

Aðferðin til að koma í veg fyrir DDoS IP/ICMP Fragmentation árásir fer eftir tegund og umfangi árásarinnar.

Aðferðin til að koma í veg fyrir DDoS IP/ICMP Fragmentation árásir fer eftir tegund og umfangi árásarinnar. Algengustu mótvægisaðferðirnar fela í sér að tryggja að komið sé í veg fyrir að illgjarnir pakkar nái til markhópa. Þetta felur í sér að skoða komandi pakka til að ákvarða hvort þeir brjóti í bága við sundurliðunarreglur.

Ein hugsanleg aðferð til að draga úr árásum vegna þjónustuneitunar er að loka fyrir öll brot önnur en upphafsbrotið, en það myndi leiða til vandamála með lögmæta umferð sem treystir á þessi brot. Betri lausn er að nota hraðatakmörkun, sem mun sleppa meirihluta pakka (bæði góðir og slæmir, þar sem hraðatakmörkun gerir ekki greinarmun á einum) og markþjónninn sem ráðist er á verður óáhrifinn.

Þessi nálgun á á hættu að skapa vandamál með lögmæta þjónustu sem byggir á brotum, en skiptin geta verið þess virði. Það er engin aðferð sem skilar 100% árangri. Ef þú ert að nota þjónustu sem byggir á brotum, eins og DNS, geturðu hvítlistað þá tilteknu netþjóna sem þú treystir á og notað taxtatakmörkun fyrir rest.