DDoS napad na fragmentacijo IP/ICMP

Kaj je napad DDoS IP/ICMP Fragmentation?

DDoS napad z fragmentacijo internetnega protokola (IP)/protokola za nadzorna sporočila interneta (ICMP) je običajna oblika napada z zavrnitvijo storitve . Pri takšnem napadu se za preobremenitev omrežja uporabijo mehanizmi fragmentacije datagramov.

Do fragmentacije IP pride, ko se datagrami IP razdelijo na majhne pakete, ki se nato prenesejo po omrežju in na koncu znova sestavijo v izvirni datagram kot del običajnega komunikacijskega procesa. Ta postopek je potreben za doseganje omejitev velikosti, ki jih lahko obravnava vsako omrežje. Takšna omejitev je opisana kot največja prenosna enota (MTU).

Ko je paket prevelik, ga je treba za uspešen prenos razdeliti na manjše fragmente. Posledica tega je pošiljanje več paketov, eden vsebuje vse informacije o paketu, vključno z izvornimi/ciljnimi vrati, dolžino itd. To je začetni fragment.

Preostali fragmenti vključujejo samo glavo IP (glava IP) in podatkovni tovor. Ti fragmenti ne vsebujejo informacij o protokolih, zmogljivosti ali vratih.

Napadalci lahko uporabijo fragmentacijo IP za ciljanje na komunikacijske sisteme in varnostne komponente. Napadi na fragmentacijo na osnovi ICMP pogosto pošiljajo lažne fragmente, ki jih ni mogoče defragmentirati. To pa povzroči, da se fragmenti postavijo v začasni pomnilnik, zasedejo pomnilnik in v nekaterih primerih izčrpajo vse razpoložljive pomnilniške vire.

Znaki DDoS napada IP/ICMP Fragmentation

IP/ICMP Fragmentation bombardira cilj z fragmentiranimi paketi

Fragmentacija IP/ICMP bombardira cilj s fragmentiranimi paketi, zaradi česar ta uporabi pomnilnik za ponovno sestavljanje vseh fragmentov in preobremeni ciljno omrežje.

Takšni napadi se kažejo na več različnih načinov:

- UDP flooding - Pri tej vrsti DDoS napada napadalci uporabljajo botnet za pošiljanje velikih količin fragmentov iz več virov. V mnogih primerih prejemnik ne bo videl začetnega fragmenta (ti fragmenti se pogosto izgubijo v kaosu dohodnih paketov). Vidi samo veliko paketov brez fragmentov glave protokola. Ti nezačetni fragmenti so zapleteni, ker morda pripadajo zakoniti seji, vendar bodo v večini primerov neželeni promet. Prejemnik nima pojma, kateri je legitimen in kateri ne, ker je bil originalni fragment izgubljen.

- Napad DDoS z fragmentacijo UDP in ICMP - Pri tej vrsti napada DDoS se prenašajo lažni paketi UDP ali ICMP. Ti paketi so zasnovani tako, da izgledajo, kot da so večji od MTU omrežja, vendar so dejansko poslani le deli paketa. Ker so paketi lažni in jih ni mogoče ponovno sestaviti, se viri strežnika hitro porabijo, zaradi česar strežnik sčasoma postane nedosegljiv za zakonit promet.

- Napad DDoS TCP Fragmentation Attack - Ta vrsta napada DDoS, znana tudi kot napad Teardrop , cilja na mehanizme za ponovno sestavljanje TCP/IP. V tem primeru fragmentirani paketi ne bodo ponovno sestavljeni. Zaradi tega se podatkovni paketi prekrivajo in ciljni strežnik postane popolnoma preobremenjen in sčasoma preneha delovati.

• Kaj je napad Ping of Death?

Zakaj so napadi na fragmentacijo IP/ICMP nevarni?

Napadi s fragmentacijo IP/ICMP so zelo nevarni

Napadi na fragmentacijo IP/ICMP bodo tako kot mnogi drugi napadi DDoS preobremenili vire ciljnega strežnika zaradi velike količine prometa. Vendar bo ta napad DDoS prav tako prisilil ciljni strežnik, da uporabi vire za ponovno sestavljanje paketov, kar pogosto povzroči zrušitev omrežnih naprav in strežnikov. Ker nefragmentirani fragmenti na začetku ne vsebujejo nobenih informacij o storitvi, ki ji pripadajo, se je težko odločiti, kateri paketi so varni in kateri ne.

Kako ublažiti in preprečiti napade fragmentacije IP/ICMP?

Pristop k preprečevanju napadov DDoS IP/ICMP Fragmentation je odvisen od vrste in obsega napada.

Pristop k preprečevanju napadov DDoS IP/ICMP Fragmentation je odvisen od vrste in obsega napada. Najpogostejši načini ublažitve vključujejo zagotavljanje, da se zlonamernim paketom prepreči, da bi dosegli ciljne gostitelje. To vključuje preučevanje dohodnih paketov, da se ugotovi, ali kršijo pravila fragmentacije.

Ena od možnih metod za ublažitev napadov zavrnitve storitve je blokiranje vseh fragmentov, razen začetnega fragmenta, vendar bi to povzročilo težave z zakonitim prometom, ki se opira na te fragmente. Boljša rešitev je uporaba omejevanja hitrosti, ki bo izločila večino paketov (tako dobrih kot slabih, saj omejevanje hitrosti ne razlikuje med enim) in napadeni ciljni strežnik ne bo prizadet.

Ta pristop lahko povzroči težave z zakonitimi storitvami, ki se zanašajo na fragmente, vendar je kompromis morda vreden. Ni metode, ki bi prinesla 100% uspeh. Če uporabljate storitve, ki se zanašajo na fragmente, kot je DNS, lahko določene strežnike, na katere se zanašate, dodate na seznam dovoljenih, za ostale pa uporabite omejitev hitrosti.