Tievolu Tievolu TievoluEen ICMP Flood of Ping Flood is een type Denial-of-Service (DoS)- of Distributed Denial-of-Service (DDoS)-aanval waarbij een aanvaller een groot aantal ICMP Echo Request-pakketten (ook bekend als "ping"-pakketten) naar een doelsysteem stuurt. Het doel is de bandbreedte of de middelen van het doelsysteem te overbelasten zodat het geen legitieme verzoeken meer kan verwerken. Dit kan onmiddellijk leiden tot uitval of aanzienlijke prestatievermindering op onbeschermde systemen.
ICMP (Internet Control Message Protocol) dient eigenlijk om netwerkapparaten te informeren over verbindingsproblemen, fouten of controlinformatie – bijv. via het bekende "ping"-commando. Bij een ICMP Flood maakt de aanvaller misbruik van dit protocol door massaal ICMP Echo Request-berichten naar een doel te sturen. Het doelsysteem voelt zich verplicht op elk afzonderlijk verzoek te antwoorden met een Echo Reply. Hierdoor worden netwerkbandbreedte, CPU en verdere middelen van het doelsysteem en vaak ook zijn netwerkinfrastructuur uitgeput.
Bijzonder kritisch: ook netwerkapparaten zoals routers en firewalls kunnen overbelast raken door zeer veel ICMP-pakketten. Deze apparaten ontvangen en verwerken elk pakket, waardoor verdere knelpunten ontstaan en de aanval ook netwerksegmenten achter het eigenlijke doel kan treffen.
Bij deze variant wordt de aanval uitgevoerd met behulp van een botnet dat bestaat uit veel gecompromitteerde apparaten. Hierdoor wordt een extreem grote hoeveelheid ICMP-verzoeken van verschillende bronnen gegenereerd, waardoor het identificeren en blokkeren van individuele aanvallers moeilijk wordt. De last wordt verdeeld over vele systemen op internet.
Hier stuurt een enkele aanvaller een vloed van ICMP-pakketten naar het doelsysteem. Deze aanvallen komen minder voor omdat ze gemakkelijker te blokkeren zijn (bijv. door het bron-IP te blokkeren). Meestal uitgevoerd vanuit één bron, maar nog steeds gevaarlijk met voldoende bandbreedte.
Om de verdediging te bemoeilijken, kan de aanvaller het bron-IP-adres van de ICMP-pakketten vervalsen (IP-spoofing). Dit maakt het moeilijker filterregels te maken of de oorsprong van de aanval te traceren. Deze methode wordt vaak gecombineerd met DDoS-botnets.
ICMP-flooding kan netwerken met relatief weinig technische moeite massaal verstoren. In tegenstelling tot complexere aanvallen richt de ICMP Flood zich specifiek op het overbelasten van de bandbreedte of CPU – zowel van het doelsysteem als van de direct stroomopwaarts gelegen netwerkapparaten. Zelfs kleine netwerkverbindingen ("last mile") kunnen worden verzadigd door grote hoeveelheden ICMP-verkeer.
Om u te beschermen tegen ICMP Flood DDoS-aanvallen zijn er verschillende mogelijkheden:
De meest gebruikelijke beschermingsmaatregel is ICMP-verkeer op routers of firewalls gericht te filteren of volledig te blokkeren – minimaal vanuit het internet en op kritieke interfaces. ICMP is niet strikt noodzakelijk voor veel services, maar een volledige blokkade moet zorgvuldig worden overwogen om legitieme toepassingen (zoals diagnosegereedschappen) niet onnodig te beperken.
Firewalls en veel switches bieden de mogelijkheid het aantal per seconde toegestane ICMP-verzoeken per bron-IP te limiteren. Zo kunnen DDoS-aanvallen aanzienlijk worden verzwakt doordat overmatig verkeer automatisch wordt verworpen. Moderne systemen detecteren ongewone schommelingen en reageren met een tijdelijke blokkade of throttling.
Het bewaken en registreren van ICMP-verkeer helpt aanvallen vroegtijdig te detecteren. Moderne netwerkmonitoringsystemen kunnen ICMP-floods identificeren op basis van hun ongewone patronen en automatisch tegenmaatregelen activeren.
Externe DDoS-beschermingsaanbieders of ISP's bieden beschermingsmechanismen op netwerkniveau die ICMP-floods gericht filteren of tegenmaatregelen zoals blackholing initiëren voordat het verkeer uw eigen netwerk bereikt.
Tievolu beschermt specifiek ook tegen ICMP Flood-aanvallen met de krachtige DDoS-beschermingsoplossing "Tievolu PYRUS". Inkomend ICMP-verkeer wordt continu geanalyseerd en ongewone patronen worden vroeg geïdentificeerd door AI-ondersteunde algoritmen. Bij een aanval worden filter- en rate-limiting-regels automatisch geactiveerd om legitiem netwerkverkeer te blijven toestaan en schadelijk verkeer te blokkeren. De verdediging vindt zowel op netwerk- als toepassingsniveau plaats.
Daarnaast biedt de Tievolu Cloud Firewall de mogelijkheid individueel aanpasbare ICMP-filterregels te definiëren. Hierover kunnen klanten bijvoorbeeld ICMP Echo Requests van het internet blokkeren, drempelwaarden voor ICMP instellen en gerichte geo- of ASN-blokkades uitvoeren. In combinatie met andere DDoS-verdedigingsmaatregelen krijgt u zo een optimale, meerlaagse bescherming ook tegen volumetrische aanvallen zoals de ICMP Flood.
