Ping-флуд (від англ. ping-flood) — тип атаки на мережеве обладнання, що має на меті відмову в обслуговуванні. Ключовою особливістю (у порівнянні з іншими видами флуд-атак) є можливість здійснення атаки «побутовими засобами» (програмами й утилітами, що входять до складу домашніх/офісних версій операційних систем).
Суть атаки
ICMP-повідомлення (ехо-запит) обробляється мережевим обладнанням третього (і вище) рівня. У більшості випадків це обладнання використовує програмні засоби маршрутизації та обробки пакунків. При цьому ехо-запит вимагає від пристрою прийняття пакунка, його обробки і формування/відправки пакунка з відповіддю на запит. Обсяг виконуваних дій при цьому в багато разів перевищує обсяг роботи з маршрутизації звичайного пакунка. Розмір ICMP-запиту зазвичай невеликий (близько 64 байт, при максимальному розмірі пакунка IP 64 кбайт). В результаті, при формальному збереженні невеликого трафіку, виникає перевантаження по кількості пакунків, і пристрій починає втрачати інші пакунки (з інших інтерфейсів чи протоколів), що і є метою атаки.
Обмеження ICMP флуду
Деякі провайдери в договорі обумовлюють окремим пунктом обмеження на швидкість ICMP-пакунків, залишаючи за собою право припинення надання послуги у разі ICMP флуду, що порушує роботу мережевого обладнання.
Розподілена атака
При розподіленій атаці (з декількох тисяч вузлів), ICMP-запити надходять із звичайною швидкістю тестування (близько 1 пакунка на секунду з вузла), але одночасно з декількох тисяч комп'ютерів. У цьому випадку підсумкове навантаження на пристрій, що є метою атаки, може досягати пропускної здатності каналу (і свідомо перевершувати швидкість обробки пакунків пристроєм).
У квітні 2007 року сайти уряду Естонії зазнав розподіленої ICMP-атаки (у зв'язку з подіями навколо бронзового солдата). Як «знаряддя» атаки використовувалася діагностична утиліта ping, що відправляє пакунок об'ємом 20000 байт на сайт www.riik.ee. За повідомленнями ЗМІ атака була успішною.
В 2010 у потужність однієї розподіленої DDoS-атаки вперше перевищила 100 Гбіт/сек.
Протидія атаці
Для протидії атаці (крім блокування трафіку з окремих вузлів і мереж) можливі такі заходи:
- Відключення відповідей на ICMP-запити (відключення відповідних служб або запобігання відгуку на певний тип повідомлення) на цільовій системі;
- Зниження пріоритету обробки ICMP-повідомлень (при цьому весь інший трафік обробляється в звичайному порядку, а ICMP-запити обробляються за залишковим принципом, у разі перевантаження ICMP-повідомленнями частина з них ігнорується).
- Відкидання або фільтрація ICMP-трафіку засобами брандмауера.
- Збільшення черги оброблюваних підключень.
Примітки
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет