Tievolu Tievolu TievoluUn ICMP Flood o Ping Flood è un tipo di attacco Denial-of-Service (DoS) o Distributed Denial-of-Service (DDoS) in cui un aggressore invia un grande numero di pacchetti ICMP Echo Request (noti anche come pacchetti "ping") a un sistema target. L'obiettivo è sovraccaricare la larghezza di banda o le risorse del sistema target in modo che non possa più elaborare richieste legittime. Questo può portare immediatamente a interruzioni o significative degradazioni delle prestazioni su sistemi non protetti.
ICMP (Internet Control Message Protocol) serve in realtà a informare i dispositivi di rete su problemi di connessione, errori o informazioni di controllo – ad esempio tramite il noto comando "ping". In un ICMP Flood, l'aggressore sfrutta questo protocollo inviando massicci messaggi ICMP Echo Request a un target. Il sistema target si sente obbligato a rispondere a ogni singola richiesta con un Echo Reply. Questo esaurisce la larghezza di banda di rete, la CPU e ulteriori risorse del sistema target e spesso anche della sua infrastruttura di rete.
Particolarmente critico: anche i dispositivi di rete come router e firewall possono essere sovraccaricati da un numero molto elevato di pacchetti ICMP. Questi dispositivi ricevono ed elaborano ogni pacchetto, creando ulteriori colli di bottiglia e consentendo all'attacco di colpire anche segmenti di rete dietro il target reale.
In questa variante, l'attacco viene eseguito con l'aiuto di una botnet composta da molti dispositivi compromessi. Ciò genera un volume estremamente grande di richieste ICMP da varie fonti, rendendo difficile l'identificazione e il blocco di singoli aggressori. Il carico è distribuito su molti sistemi su internet.
Qui, un singolo aggressore invia un'ondata di pacchetti ICMP al sistema target. Questi attacchi sono meno comuni poiché sono più facili da bloccare (ad esempio bloccando l'IP sorgente). Di solito effettuato da una sola fonte, ma comunque pericoloso con sufficiente larghezza di banda.
Per rendere più difficile la difesa, l'aggressore può falsificare l'indirizzo IP sorgente dei pacchetti ICMP (IP spoofing). Questo rende più difficile creare regole di filtraggio o tracciare l'origine dell'attacco. Questo metodo è spesso combinato con botnet DDoS.
L'ICMP Flooding può disturbare massicciamente le reti con uno sforzo tecnico relativamente ridotto. A differenza di attacchi più complessi, l'ICMP Flood mira specificamente al sovraccarico della larghezza di banda o della CPU, sia del sistema target che dei dispositivi di rete direttamente a monte. Anche le piccole connessioni di rete ("ultimo miglio") possono essere saturate da grandi volumi di traffico ICMP.
Per proteggersi dagli attacchi DDoS ICMP Flood, sono disponibili diverse opzioni:
La misura di protezione più comune è filtrare specificamente o bloccare completamente il traffico ICMP su router o firewall, almeno da internet e alle interfacce critiche. ICMP non è strettamente necessario per molti servizi, tuttavia un blocco completo dovrebbe essere attentamente considerato per evitare di limitare inutilmente le applicazioni legittime (come strumenti diagnostici).
I firewall e molti switch offrono la possibilità di limitare il numero di richieste ICMP consentite al secondo per IP sorgente. Questo può mitigare significativamente gli attacchi DDoS scartando automaticamente il traffico eccessivo. I sistemi moderni rilevano fluttuazioni insolite e rispondono con un blocco temporaneo o throttling.
Il monitoraggio e la registrazione del traffico ICMP aiuta a rilevare gli attacchi in anticipo. I moderni sistemi di monitoraggio della rete possono identificare gli ICMP Flood in base ai loro modelli insoliti e attivare automaticamente contromisure.
I fornitori esterni di protezione DDoS o gli ISP offrono meccanismi di protezione a livello di rete che filtrano specificamente gli ICMP Flood o iniziano contromisure come il blackholing prima che il traffico raggiunga la propria rete.
Tievolu protegge specificamente contro gli attacchi ICMP Flood con la potente soluzione di protezione DDoS "Tievolu PYRUS". Il traffico ICMP in entrata viene analizzato continuamente e i modelli insoliti vengono identificati in anticipo da algoritmi assistiti da IA. In caso di attacco, le regole di filtraggio e limitazione della velocità vengono attivate automaticamente per consentire al traffico di rete legittimo di continuare e bloccare il traffico dannoso. La difesa avviene sia a livello di rete che di applicazione.
Inoltre, il Tievolu Cloud Firewall offre la possibilità di definire regole di filtraggio ICMP individualmente personalizzabili. Tramite questo, i clienti possono ad esempio bloccare le ICMP Echo Request da internet, impostare soglie per ICMP ed eseguire blocchi geografici o ASN mirati. In combinazione con altre misure di difesa DDoS, si ottiene così una protezione ottimale e multilivello anche contro attacchi volumetrici come l'ICMP Flood.
