Tievolu Tievolu TievoluICMP Flood lub Ping Flood to rodzaj ataku Denial-of-Service (DoS) lub Distributed Denial-of-Service (DDoS), w którym atakujący wysyła dużą liczbę pakietów ICMP Echo Request (znanych również jako pakiety „ping") do systemu docelowego. Celem jest przeciążenie przepustowości lub zasobów systemu docelowego, tak aby nie mógł on już przetwarzać legalnych żądań. Może to natychmiast prowadzić do awarii lub znacznego pogorszenia wydajności w niechronionych systemach.
ICMP (Internet Control Message Protocol) służy właściwie do informowania urządzeń sieciowych o problemach z połączeniem, błędach lub informacjach kontrolnych – np. za pomocą dobrze znanych polecenia „ping". W ICMP Flood atakujący wykorzystuje ten protokół, wysyłając masowo wiadomości ICMP Echo Request do celu. System docelowy czuje się zobowiązany odpowiedzieć na każde pojedyncze żądanie za pomocą Echo Reply. W ten sposób wyczerpywana jest przepustowość sieci, CPU i inne zasoby systemu docelowego, a często także jego infrastruktury sieciowej.
Szczególnie krytyczne: urządzenia sieciowe, takie jak routery i zapory sieciowe, mogą być również przeciążone przez bardzo dużą liczbę pakietów ICMP. Urządzenia te odbierają i przetwarzają każdy pakiet, powodując dalsze wąskie gardła i umożliwiając atakowi objęcie również segmentów sieci za właściwym celem.
W tym wariancie atak przeprowadzany jest przy pomocy botnetu składającego się z wielu skompromitowanych urządzeń. Generuje to wyjątkowo dużą liczbę żądań ICMP z różnych źródeł, utrudniając identyfikację i blokowanie poszczególnych atakujących. Obciążenie jest rozłożone na wiele systemów w internecie.
Tutaj pojedynczy atakujący wysyła zalew pakietów ICMP do systemu docelowego. Ataki te są rzadsze, ponieważ łatwiej je zablokować (np. blokując źródłowy adres IP). Zazwyczaj przeprowadzane z jednego źródła, ale nadal niebezpieczne przy wystarczającej przepustowości.
Aby utrudnić obronę, atakujący może sfałszować źródłowy adres IP pakietów ICMP (IP spoofing). Utrudnia to tworzenie reguł filtrowania lub śledzenie pochodzenia ataku. Metoda ta jest często łączona z botnetami DDoS.
ICMP Flooding może masowo zakłócać sieci przy stosunkowo niewielkim wysiłku technicznym. W przeciwieństwie do bardziej złożonych ataków, ICMP Flood celuje konkretnie w przeciążenie przepustowości lub CPU – zarówno systemu docelowego, jak i bezpośrednio poprzedzających go urządzeń sieciowych. Nawet małe połączenia sieciowe („ostatnia mila") mogą zostać nasycone dużymi wolumenami ruchu ICMP.
Aby chronić się przed atakami DDoS ICMP Flood, dostępnych jest kilka możliwości:
Najczęstszym środkiem ochronnym jest celowe filtrowanie lub całkowite blokowanie ruchu ICMP na routerach lub zaporach sieciowych – przynajmniej z internetu i na krytycznych interfejsach. ICMP nie jest ściśle wymagany dla wielu usług, jednak całkowite zablokowanie powinno być starannie przemyślane, aby nie ograniczać niepotrzebnie legalnych aplikacji (takich jak narzędzia diagnostyczne).
Zapory sieciowe i wiele przełączników oferuje możliwość ograniczenia liczby dozwolonych żądań ICMP na sekundę na źródłowy adres IP. Pozwala to znacznie złagodzić ataki DDoS poprzez automatyczne odrzucanie nadmiernego ruchu. Nowoczesne systemy wykrywają niezwykłe wahania i reagują tymczasową blokadą lub throttlingiem.
Monitorowanie i rejestrowanie ruchu ICMP pomaga wcześnie wykrywać ataki. Nowoczesne systemy monitorowania sieci mogą identyfikować ataki ICMP Flood na podstawie ich niezwykłych wzorców i automatycznie uruchamiać środki zaradcze.
Zewnętrzni dostawcy ochrony DDoS lub ISP oferują mechanizmy ochrony na poziomie sieci, które celowo filtrują ataki ICMP Flood lub inicjują środki zaradcze, takie jak blackholing, zanim ruch dotrze do własnej sieci.
Tievolu chroni konkretnie przed atakami ICMP Flood za pomocą potężnego rozwiązania ochrony DDoS „Tievolu PYRUS". Przychodzący ruch ICMP jest stale analizowany, a niezwykłe wzorce są wcześnie identyfikowane przez algorytmy wspierane przez AI. W przypadku ataku reguły filtrowania i rate limitingu są automatycznie aktywowane, aby umożliwić kontynuację legalnego ruchu sieciowego i blokowanie szkodliwego ruchu. Ochrona odbywa się zarówno na poziomie sieci, jak i aplikacji.
Ponadto Tievolu Cloud Firewall oferuje możliwość definiowania indywidualnie dostosowywalnych reguł filtrowania ICMP. Dzięki temu klienci mogą na przykład blokować żądania ICMP Echo Request z internetu, ustawiać progi dla ICMP i przeprowadzać ukierunkowane blokady geograficzne lub ASN. W połączeniu z innymi środkami obrony DDoS zapewnia to optymalną, wielopoziomową ochronę przed atakami wolumetrycznymi, takimi jak ICMP Flood.
