Ping (ICMP) flood attack! Tấn công ddos bằng Ping Flood là gì?
01/10/20191. Cuộc tấn công Ping (ICMP) flood là gì?
Là cuộc tấn công Ddos, trong đó kẻ tấn công cố gắng áp đảo một thiết bị mục tiêu bằng các yêu cầu packets ICMP. Khiến mục tiêu không thể có lưu lượng truy cập bình thường. Khi lưu lượng tấn công đến từ nhiều thiết bị, cuộc tấn công sẽ trở thành một tấn công DDoS hoặc phân tán.
2. Làm thế nào để tấn công Ping (ICMP) flood?
Internet Control Message Protocol (ICMP) được sử dụng trong một cuộc tấn công Ping Flood. Là một giao thức internet được sử dụng bởi các thiết bị mạng để liên lạc. Các công cụ chẩn đoán mạng traceroute và ping đều sử dụng bằng ICMP. Thông thường, ICMP gửi các tin nhắn đến (echo-request) và phản hồi đi (echo-reply messages). Dùng để Ping các thiết bị trong mạng nhằm chuẩn đoán tình trạng sức khỏe. Kết nối của thiết bị, kết nối giữa người gửi và thiết bị.
Một yêu cầu ICMP cần một số tài nguyên server để xử lý từng yêu cầu và gửi phản hồi. Yêu cầu cũng cần tổng lưu lượng trên cả tin nhắn đến (echo-request) và phản hồi đi (echo-reply). Cuộc tấn công Ping Flood nhằm áp đảo khả năng của thiết bị mục tiêu. Phản hồi với số lượng yêu cầu cao hoặc quá tải kết nối mạng với lưu lượng ảo. Bằng cách có nhiều thiết bị mạng botnet nhắm vào cùng một cơ sở hạ tầng hoặc cơ sở hạ tầng với các ICMP requests. Lưu lượng tấn công được tăng lên đáng kể. Có khả năng dẫn đến gián đoạn hoạt động mạng bình thường. Trong lịch sử, những kẻ tấn công thường giả mạo một địa chỉ IP để che giấu thiết bị gửi. Với các cuộc tấn công botnet hiện đại, hiếm khi thấy các kẻ xấu cần phải che giấu IP của bot. Thay vào đó dựa vào một mạng lưới lớn các bot không giả mạo để bão hòa công suất của mục tiêu tấn công.
3. Kiểu tấn công DDoS của Ping flood (ICMP) có thể được chia thành 2 bước
Bước 1: Kẻ tấn công gửi nhiều packets echo-request ICMP đến server mục tiêu bằng nhiều thiết bị.
Bước 2: Sau đó, máy chủ mục tiêu sẽ gửi packets echo-reply ICMP đến từng địa chỉ IP của thiết bị yêu cầu phản hồi.
Dấu hiệu gây thiệt hại của Ping Flood tỷ lệ thuận với số lượng yêu cầu được gửi đến server mục tiêu. Khác với các cuộc tấn công DDoS dựa trên như khuếch đại NTP và khuếch đại DNS. Lưu lượng tấn công Ping Flood là đối xứng. Lượng băng thông mà thiết bị mục tiêu nhận được chỉ đơn giản. Là tổng của tổng lưu lượng được gửi từ mỗi bot.
4. Làm thế nào giảm thiểu cuộc tấn công Ping Flood?
Việc vô hiệu hóa Ping Flood được thực hiện dễ dàng nhất bằng cách vô hiệu hóa chức năng ICMP của Router, PC hoặc thiết bị mục tiêu khác. Người quản trị mạng có thể truy cập vào giao diện quản trị của thiết bị. Vô hiệu hóa khả năng gửi và nhận bất kỳ yêu cầu nào của thiết bị bằng ICMP. Đồng thời loại bỏ cả việc xử lý yêu cầu và Echo reply. Hệ quả của việc này là tất cả các hoạt động mạng liên quan đến ICMP đều bị vô hiệu hóa. Khiến thiết bị không phản hồi với Ping requests, theo dõi yêu cầu và các hoạt động mạng khác.