DDoS IP/ICMP Fragmentation атака

Що таке DDoS IP/ICMP Fragmentation атака?

DDoS-атака з фрагментацією Інтернет-протоколу (IP)/Протоколу керуючих повідомлень Інтернету (ICMP) є поширеною формою атаки на відмову в обслуговуванні . У такій атаці використовуються механізми фрагментації дейтаграм, щоб перевантажити мережу.

Фрагментація IP відбувається, коли IP-дейтаграми розбиваються на невеликі пакети, які потім передаються через мережу та, нарешті, знову збираються у вихідну дейтаграму в рамках звичайного процесу зв’язку. Цей процес необхідний для відповідності обмеженням розміру, які може обробляти кожна мережа. Така межа описується як максимальна одиниця передачі (MTU).

Якщо пакет занадто великий, його потрібно розділити на менші фрагменти, щоб успішно передати його. Це призводить до надсилання кількох пакетів, один з яких містить усю інформацію про пакет, включаючи порти джерела/одержувача, довжину тощо. Це початковий фрагмент.

Решта фрагментів включає лише IP-заголовок (IP-заголовок) і корисне навантаження даних. Ці фрагменти не містять інформації про протоколи, ємність або порти.

Зловмисники можуть використовувати фрагментацію IP-адреси, щоб атакувати системи зв’язку, а також компоненти безпеки. Атаки фрагментації на основі ICMP часто надсилають підроблені фрагменти, які неможливо дефрагментувати. Це, у свою чергу, призводить до того, що фрагменти поміщаються в тимчасову пам’ять, займаючи пам’ять і в деяких випадках вичерпуючи всі доступні ресурси пам’яті.

Ознаки IP/ICMP Fragmentation DDoS-атаки

Фрагментація IP/ICMP бомбардує адресата фрагментованими пакетами

Фрагментація IP/ICMP бомбардує адресата фрагментованими пакетами, змушуючи його використовувати пам’ять, щоб повторно зібрати всі фрагменти та перевантажити цільову мережу.

Такі напади проявляються кількома різними способами:

– UDP-флуд – у цьому типі DDoS-атаки зловмисники використовують ботнет для надсилання великих обсягів фрагментів із кількох джерел. У багатьох випадках одержувач не побачить початковий фрагмент (ці фрагменти часто губляться в хаосі вхідних пакетів). Він просто бачить багато пакетів без фрагментів заголовка протоколу. Ці непочаткові фрагменти є складними, оскільки вони можуть належати до законного сеансу, але в більшості випадків це буде небажаний трафік. Одержувач не має жодного поняття щодо того, який є законним, а який ні, оскільки оригінальний фрагмент було втрачено.

- UDP & ICMP Fragmentation DDoS Attack - У цьому типі DDoS-атаки передаються підроблені пакети UDP або ICMP. Ці пакети створені так, ніби вони перевищують MTU мережі, але насправді надсилаються лише частини пакета. Оскільки пакети підроблені та не можуть бути повторно зібрані, ресурси сервера швидко споживаються, що зрештою робить сервер недоступним для законного трафіку.

- DDoS TCP Fragmentation Attack - цей тип DDoS-атаки, також відомий як Teardrop атака , націлений на механізми повторного збирання TCP/IP. У цьому випадку фрагментовані пакети не будуть повторно зібрані. У результаті пакети даних накладаються, і цільовий сервер стає повністю перевантаженим і зрештою припиняє працювати.

• Що таке атака Ping of Death?

Чому IP/ICMP Fragmentation атаки небезпечні?

Фрагментація IP/ICMP дуже небезпечна

Атаки фрагментації IP/ICMP, як і багато інших DDoS-атак, перевантажать ресурси цільового сервера великим обсягом трафіку. Однак ця DDoS-атака також змусить цільовий сервер використовувати ресурси, щоб повторно зібрати пакети, що часто призводить до збою мережевих пристроїв і серверів. Нарешті, оскільки нефрагментовані фрагменти спочатку не містять жодної інформації про службу, до якої вони належать, важко вирішити, які пакети безпечні, а які ні.

Як пом'якшити та запобігти атакам фрагментації IP/ICMP?

Підхід до запобігання атакам DDoS IP/ICMP Fragmentation залежить від типу та масштабу атаки.

Підхід до запобігання атакам DDoS IP/ICMP Fragmentation залежить від типу та масштабу атаки. Найпоширеніші методи запобігання включають забезпечення того, щоб шкідливі пакети не досягали цільових хостів. Це передбачає перевірку вхідних пакетів, щоб визначити, чи порушують вони правила фрагментації.

Одним із потенційних методів пом’якшення атак типу «відмова в обслуговуванні» є блокування всіх фрагментів, крім початкового, але це призведе до проблем із законним трафіком, що покладається на ці фрагменти. Кращим рішенням є використання обмеження швидкості, яке відкине більшість пакетів (як хороших, так і поганих, оскільки обмеження швидкості не розрізняє один), і атакований цільовий сервер залишиться незмінним.

Такий підхід ризикує створити проблеми з легітимними службами, які покладаються на фрагменти, але компроміс може того вартий. Не існує методу, який приносить 100% успіх. Якщо ви використовуєте служби, які покладаються на фрагменти, наприклад DNS, ви можете внести в білий список певні сервери, на які покладаєтеся, і використовувати обмеження швидкості для решти.