Co to jest atak DDoS na fragmentację IP/ICMP?
Fragmentacja protokołu internetowego (IP)/protokołu komunikatów kontrolnych Internetu (ICMP) Atak DDoS jest powszechną formą ataku typu „odmowa usługi” . W takim ataku wykorzystywane są mechanizmy fragmentacji datagramów w celu przeciążenia sieci.
Fragmentacja IP ma miejsce, gdy datagramy IP są dzielone na małe pakiety, które są następnie przesyłane przez sieć i ostatecznie składane w oryginalny datagram w ramach normalnego procesu komunikacji. Ten proces jest niezbędny, aby spełnić ograniczenia rozmiaru, jakie może obsłużyć każda sieć. Limit taki określany jest jako maksymalna jednostka transmisji (MTU).
Gdy pakiet jest zbyt duży, aby mógł zostać pomyślnie przesłany, należy go podzielić na mniejsze fragmenty. Powoduje to wysłanie kilku pakietów, z których jeden zawiera wszystkie informacje o pakiecie, w tym port źródłowy/docelowy, długość itp. Jest to fragment początkowy.
Pozostałe fragmenty zawierają jedynie nagłówek IP (nagłówek IP) i ładunek danych. Fragmenty te nie zawierają informacji o protokołach, pojemności ani portach.
Osoby atakujące mogą wykorzystywać fragmentację IP do atakowania systemów komunikacyjnych, a także komponentów bezpieczeństwa. Ataki fragmentacyjne oparte na protokole ICMP często wysyłają fałszywe fragmenty, których nie można zdefragmentować. To z kolei powoduje, że fragmenty są umieszczane w pamięci tymczasowej, zajmując pamięć, a w niektórych przypadkach wyczerpując wszystkie dostępne zasoby pamięci.
Oznaki ataku DDoS polegającego na fragmentacji IP/ICMP
Fragmentacja IP/ICMP bombarduje miejsce docelowe pofragmentowanymi pakietami
Fragmentacja IP/ICMP bombarduje miejsce docelowe pofragmentowanymi pakietami, powodując, że wykorzystuje on pamięć do ponownego złożenia wszystkich fragmentów i przeciąża docelową sieć.
Takie ataki objawiają się na wiele różnych sposobów:
- Zalanie UDP — w tego typu ataku DDoS napastnicy wykorzystują botnet do wysyłania dużych ilości fragmentów z wielu źródeł. W wielu przypadkach odbiorca nie zobaczy fragmentu początkowego (fragmenty te często gubią się w chaosie przychodzących pakietów). Po prostu widzi wiele pakietów bez fragmentów nagłówka protokołu. Te niepoczątkowe fragmenty są trudne, ponieważ mogą należeć do legalnej sesji, ale w większości przypadków będą to ruch śmieciowy. Odbiorca nie ma pojęcia, który fragment jest prawdziwy, a który nie, ponieważ oryginalny fragment został utracony.
- Atak DDoS z fragmentacją UDP i ICMP - W tego typu ataku DDoS przesyłane są fałszywe pakiety UDP lub ICMP. Pakiety te są zaprojektowane tak, aby wyglądały, jakby były większe niż MTU sieci, ale w rzeczywistości wysyłane są tylko części pakietu. Ponieważ pakiety są fałszywe i nie można ich ponownie złożyć, zasoby serwera są szybko zużywane, co ostatecznie powoduje, że serwer staje się niedostępny dla legalnego ruchu.
- Atak fragmentacyjny DDoS TCP - ten typ ataku DDoS, znany również jako atak Teardrop , ma na celu mechanizmy ponownego składania protokołu TCP/IP. W takim przypadku pofragmentowane pakiety nie zostaną ponownie złożone. W rezultacie pakiety danych nakładają się na siebie, a docelowy serwer zostaje całkowicie przeciążony i ostatecznie przestaje działać.
Dlaczego ataki fragmentacyjne IP/ICMP są niebezpieczne?
Ataki fragmentacyjne IP/ICMP są bardzo niebezpieczne
Ataki fragmentacyjne IP/ICMP, podobnie jak wiele innych ataków DDoS, przeciążą zasoby serwera docelowego ze względu na duży ruch. Jednak ten atak DDoS zmusi również serwer docelowy do użycia zasobów w celu ponownego złożenia pakietów, co często prowadzi do awarii urządzeń sieciowych i serwerów. Wreszcie, ponieważ fragmenty niefragmentowe początkowo nie zawierają żadnych informacji o usłudze, do której należą, trudno jest zdecydować, które pakiety są bezpieczne, a które nie.
Jak łagodzić i zapobiegać atakom związanym z fragmentacją IP/ICMP?
Podejście do zapobiegania atakom DDoS opartym na fragmentacji IP/ICMP zależy od rodzaju i zasięgu ataku.
Podejście do zapobiegania atakom DDoS opartym na fragmentacji IP/ICMP zależy od rodzaju i zasięgu ataku. Najpopularniejsze metody ograniczania ryzyka polegają na zapobieganiu przedostawaniu się złośliwych pakietów do docelowych hostów. Obejmuje to badanie przychodzących pakietów w celu ustalenia, czy naruszają one zasady fragmentacji.
Jedną z potencjalnych metod łagodzenia ataków typu „odmowa usługi” jest blokowanie wszystkich fragmentów innych niż fragment początkowy, ale prowadziłoby to do problemów z legalnym ruchem opartym na tych fragmentach. Lepszym rozwiązaniem jest użycie ograniczania szybkości, które usunie większość pakietów (zarówno dobrych, jak i złych, ponieważ ograniczenie szybkości nie rozróżnia jednego), a zaatakowany serwer docelowy pozostanie Nienaruszony.
Takie podejście stwarza ryzyko problemów z legalnymi usługami, które opierają się na fragmentach, ale kompromis może być tego wart. Nie ma metody, która przynosi 100% sukcesu. Jeśli korzystasz z usług opartych na fragmentach, takich jak DNS, możesz dodać do białej listy określone serwery, na których polegasz, a dla pozostałych zastosować ograniczenie szybkości.
Czy widzisz powiadomienie o aktywacji systemu Windows 10 w prawym rogu ekranu? W tym artykule dowiesz się, jak usunąć powiadomienie o żądaniu dotyczącym praw autorskich w systemie Windows 10.
Niedawno firma Microsoft wydała najnowszą aktualizację zbiorczą dla użytkowników komputerów PC z systemem Windows 10 o nazwie Build 14393.222. Ta aktualizacja wydana dla systemu Windows 10 naprawia głównie błędy na podstawie opinii użytkowników i poprawia wydajność systemu operacyjnego.
Czy masz komputery w sieci lokalnej, które wymagają dostępu zewnętrznego? Dobrym rozwiązaniem może być użycie hosta bastionowego jako strażnika sieci.
Czasami może być konieczne jednoczesne usunięcie wszystkich starych dzienników zdarzeń. W tym przewodniku Quantrimang.com pokaże Ci 3 sposoby szybkiego usunięcia wszystkich dzienników zdarzeń w Podglądzie zdarzeń systemu Windows 10.
Jeśli wolisz używać starej, klasycznej klawiatury, takiej jak IBM Model M, która nie zawiera fizycznego klawisza Windows, istnieje prosty sposób, aby dodać więcej, pożyczając klawisz, którego nie używasz często.
WindowTop to narzędzie, które ma możliwość przyciemnienia wszystkich okien aplikacji i programów działających na komputerach z systemem Windows 10. Możesz także użyć interfejsu z ciemnym tłem w systemie Windows.
W wielu poprzednich artykułach wspominaliśmy, że zachowanie anonimowości w Internecie jest niezwykle ważne. Co roku dochodzi do wycieku prywatnych informacji, co sprawia, że bezpieczeństwo w Internecie staje się coraz bardziej konieczne. Z tego też powodu powinniśmy używać wirtualnych adresów IP. Poniżej dowiemy się o metodach tworzenia fałszywych adresów IP!
Pasek języka w systemie Windows 8 to miniaturowy pasek narzędzi języka, zaprojektowany tak, aby automatycznie wyświetlał się na ekranie komputera stacjonarnego. Jednak wiele osób chce ukryć ten pasek języka na pasku zadań.
Maksymalizacja szybkości Internetu jest niezbędna do optymalizacji połączenia sieciowego. Możesz cieszyć się optymalną rozrywką i pracą, korzystając z komputerów, telewizorów z dostępem do Internetu, konsol do gier itp.
Łączność bezprzewodowa jest dziś koniecznością i dlatego bezpieczeństwo sieci bezprzewodowej jest niezbędne do zapewnienia bezpieczeństwa w sieci wewnętrznej.
