Ping-флуд

Ping-флуд (від англ. ping-flood) — тип атаки на мережеве обладнання, що має на меті відмову в обслуговуванні. Ключовою особливістю (у порівнянні з іншими видами флуд-атак) є можливість здійснення атаки «побутовими засобами» (програмами й утилітами, що входять до складу домашніх/офісних версій операційних систем).

Суть атаки

ICMP-повідомлення (ехо-запит) обробляється мережевим обладнанням третього (і вище) рівня. У більшості випадків це обладнання використовує програмні засоби маршрутизації та обробки пакунків. При цьому ехо-запит вимагає від пристрою прийняття пакунка, його обробки і формування/відправки пакунка з відповіддю на запит. Обсяг виконуваних дій при цьому в багато разів перевищує обсяг роботи з маршрутизації звичайного пакунка. Розмір ICMP-запиту зазвичай невеликий (близько 64 байт, при максимальному розмірі пакунка IP 64 кбайт). В результаті, при формальному збереженні невеликого трафіку, виникає перевантаження по кількості пакунків, і пристрій починає втрачати інші пакунки (з інших інтерфейсів чи протоколів), що і є метою атаки.

Обмеження ICMP флуду

Деякі провайдери в договорі обумовлюють окремим пунктом обмеження на швидкість ICMP-пакунків, залишаючи за собою право припинення надання послуги у разі ICMP флуду, що порушує роботу мережевого обладнання.

Розподілена атака

При розподіленій атаці (з декількох тисяч вузлів), ICMP-запити надходять із звичайною швидкістю тестування (близько 1 пакунка на секунду з вузла), але одночасно з декількох тисяч комп'ютерів. У цьому випадку підсумкове навантаження на пристрій, що є метою атаки, може досягати пропускної здатності каналу (і свідомо перевершувати швидкість обробки пакунків пристроєм).

У квітні 2007 року сайти уряду Естонії зазнав розподіленої ICMP-атаки (у зв'язку з подіями навколо бронзового солдата). Як «знаряддя» атаки використовувалася діагностична утиліта ping, що відправляє пакунок об'ємом 20000 байт на сайт www.riik.ee. За повідомленнями ЗМІ атака була успішною^[1].

В 2010 у потужність однієї розподіленої DDoS-атаки вперше перевищила 100 Гбіт/сек^[2].

Протидія атаці

Для протидії атаці (крім блокування трафіку з окремих вузлів і мереж) можливі такі заходи:

• Відключення відповідей на ICMP-запити (відключення відповідних служб або запобігання відгуку на певний тип повідомлення) на цільовій системі;
• Зниження пріоритету обробки ICMP-повідомлень (при цьому весь інший трафік обробляється в звичайному порядку, а ICMP-запити обробляються за залишковим принципом, у разі перевантаження ICMP-повідомленнями частина з них ігнорується).
• Відкидання або фільтрація ICMP-трафіку засобами брандмауера.
• Збільшення черги оброблюваних підключень.

Примітки

1. Хакери атакують естонські урядові сайти — lenta.ru. Архів оригіналу за 3 травня 2007. Процитовано 5 червня 2015.
2. Network Infrastructure Security Research Report | Arbor Networks. Архів оригіналу за 25 грудня 2010. Процитовано 5 червня 2015.