Tievolu Tievolu TievoluUn GRE Flood è una forma specifica di attacco Denial-of-Service (DoS) o Distributed Denial-of-Service (DDoS) in cui grandi volumi di pacchetti GRE (Generic Routing Encapsulation) vengono inviati a un sistema target o a una rete. L'obiettivo dell'attacco è sovraccaricare la larghezza di banda nonché le capacità di routing e di elaborazione della vittima. GRE è un protocollo di tunneling che viene in realtà utilizzato per costruire VPN o connettere reti separate. Tuttavia, gli aggressori abusano di GRE per generare traffico massiccio al di fuori dei flussi TCP/UDP classici, che non viene ispezionato per impostazione predefinita da molti firewall e filtri. Ciò consente loro di aggirare i meccanismi di protezione ed esaurire specificamente le risorse a livello di rete e di applicazione.
In un GRE Flood, l'aggressore invia un gran numero di pacchetti GRE manipolati con alta larghezza di banda al target. Poiché il traffico GRE viene spesso utilizzato per applicazioni legittime, è difficile per molti sistemi distinguere i pacchetti GRE dannosi da quelli legittimi. A differenza degli attacchi classici che utilizzano porte specifiche (come con TCP o UDP), il GRE Flood aggira molti meccanismi di filtraggio utilizzando il protocollo GRE (protocollo IP 47) a livello IP. Gli aggressori utilizzano principalmente botnet o server aperti e mascherano ulteriormente l'origine tramite IP spoofing.
Il sovraccarico mirato con traffico GRE può causare significative degradazioni delle prestazioni o persino guasti nei componenti dell'infrastruttura come router o firewall, specialmente se questi dispositivi non sono preparati per l'ispezione o il filtraggio di GRE. Questo rende i GRE Floods un metodo particolarmente efficace per gli aggressori di aggirare i meccanismi di protezione e disturbare reti o servizi critici.
In un GRE Flood Distribuito, gli aggressori combinano le risorse di numerosi sistemi compromessi o botnet per dirigere enormi volumi di pacchetti GRE simultaneamente contro un target. La tracciabilità delle origini dell'attacco è così quasi impossibile e il potenziale di attacco è estremamente elevato, poiché molti ISP non bloccano né monitorano il traffico GRE per impostazione predefinita.
Qui, un singolo aggressore o una piccola rete invia specificamente molti pacchetti GRE al target. Se l'IP sorgente non è falsificato, tale attacco può essere rilevato con relativa facilità, ma spesso rimane efficace quando l'infrastruttura della vittima consente il traffico GRE e non sono impostati filtri specifici.
L'IP spoofing significa che l'aggressore manipola gli indirizzi IP sorgente dei pacchetti GRE. Questo rende difficile determinare l'origine dell'attacco e complica le misure di difesa. Spesso vengono utilizzate migliaia di indirizzi di spoofing in modo che le strategie di blacklisting non funzionino.
I GRE Floods possono avere un impatto enorme con una spesa di risorse comparativamente bassa da parte dell'aggressore, specialmente perché lo stack di rete di molti sistemi non è progettato per l'alto traffico GRE e le soluzioni di protezione non coprono sempre questo protocollo. Di conseguenza, anche le grandi infrastrutture IT possono essere temporaneamente paralizzate da attacchi GRE Flood mirati.
Per proteggersi dagli attacchi DDoS GRE Flood, si raccomandano varie misure:
Abilitate regole esplicite in firewall e router per consentire il traffico GRE solo tra endpoint autorizzati. Il traffico GRE non necessario dovrebbe essere bloccato al perimetro della rete.
Implementate sistemi che ispezionino i pacchetti GRE tramite DPI e rilevino modelli insoliti (ad es. alta frequenza di pacchetti o profonde annidamenti). Ciò consente di rilevare e bloccare presto i modelli DDoS anche nei tunnel GRE.
Limitate il numero consentito di pacchetti GRE in entrata per intervallo di tempo ai vostri confini di rete. Molti dispositivi di rete professionali offrono meccanismi speciali di limitazione della velocità per il protocollo 47 (GRE).
Un monitoraggio continuo della rete aiuta a rilevare immediatamente volumi insoliti di traffico GRE e ad avviare automaticamente contromisure.
Con la protezione DDoS "Tievolu PYRUS", il nostro sistema rileva e blocca anche gli attacchi a livello di protocollo, in particolare i GRE Floods. Transizioni e pacchetti a tutti i livelli di protocollo importanti, incl. IP 47, vengono continuamente analizzati e filtrati in tempo reale in caso di attacco. I nostri sistemi assistiti da IA rilevano presto pattern di traffico insoliti (come improvvise frequenze GRE) e installano automaticamente regole di blocco o limitazione. Ciò consente di difendere in modo affidabile contro attacchi non standard come i GRE Floods senza influire sulle applicazioni legittime.
Con il Tievolu Cloud Firewall potete creare filtri GRE espliciti, configurare limiti di traffico specifici e assicurarsi che siano possibili solo i peering GRE autorizzati. Combinate questo con ulteriori meccanismi come il geo-blocking o il filtraggio ASN per ridurre ulteriormente il possibile vettore di attacco.
