Πώς να μείνετε ασφαλείς από την επίθεση Ping of Death DDoS
Με κάθε τεχνολογική πρόοδο αυξάνεται οι επιτιθέμενοι και οι απειλές για την ασφάλεια στον κυβερνοχώρο. Σε αυτό το άρθρο, θα συζητήσουμε έναν από τους τύπους επιθέσεων DDoS που μπορούν να χρησιμοποιήσουν οι εισβολείς για να διακόψουν την υπηρεσία μέσα σε ένα σύστημα: το Ping of Death και τρόπους προστασίας από αυτό.
Πίνακας περιεχομένων
Τι είναι το Ping of Death
Το PING of Death είναι μια επίθεση άρνησης υπηρεσίας (DoS) όπου οι εισβολείς στέλνουν μεγάλα πακέτα δεδομένων σε μια υπηρεσία πέρα από την απαιτούμενη απαίτηση πακέτων, με μοναδικό στόχο να ακρωτηριάσουν ή να καταστήσουν τη συγκεκριμένη υπηρεσία απρόσιτη σε άλλους χρήστες. RFC 791 καθορίζει ότι το τυπικό πακέτο IP που απαιτείται είναι 65.535 byte.
Οποιαδήποτε ποσότητα byte πάνω από αυτό θα μπορούσε να προκαλέσει το πάγωμα ή τη διακοπή λειτουργίας του συστήματος κατά την επεξεργασία του αιτήματος.
Πώς λειτουργεί το Ping of Death;
Πίστωση: Wallarm
Το ping of death προκαλείται από ένα μεγάλο πακέτο πρωτοκόλλου μηνυμάτων ελέγχου διαδικτύου (ICMP) που αποστέλλεται σε ένα δίκτυο.
Ένα ping (Packet Internet ή Inter-Network Groper) ή ICMP echo-reply δοκιμάζει μια συγκεκριμένη σύνδεση δικτύου για να επικυρώσει εάν το δίκτυο υπάρχει και μπορεί να αποδεχτεί το αίτημα. Αυτή η δοκιμή πραγματοποιείται στέλνοντας ένα ping, ένα κομμάτι δεδομένων και αναμένοντας μια απάντηση σε αντάλλαγμα.
Με βάση την απάντηση, επαληθεύεται η κατάσταση της υπηρεσίας.
Οι εισβολείς πραγματοποιούν την επίθεση Ping of death DDoS στέλνοντας μεγάλα πακέτα, παραβιάζοντας το πρωτόκολλο Internet RFC791 που απαιτεί ένα έγκυρο πακέτο IPv4 65.535 byte.
Η επίθεση δεν μπορεί να στείλει πακέτα μεγαλύτερα από αυτό το μέγεθος. Ως εκ τούτου, στέλνουν πακέτα τμηματικά, τα οποία, όταν το σύστημα συναρμολογεί το πακέτο, καταλήγουν σε ένα μεγάλο πακέτο, προκαλώντας το πάγωμα του συστήματος, εξ ου και το όνομα ping of death.
Ping of Death Attack: Παραδείγματα
#1. Επιτυχία εκστρατείας DNC
Το 2018, το Η Δημοκρατική Εθνική Επιτροπή χτυπήθηκε με επίθεση DDoS. Αυτές οι επιθέσεις πραγματοποιήθηκαν όταν το DNC και το DCCC είτε άντλησαν χρήματα είτε είχαν αυξημένη δημοτικότητα υποψηφίων. Οι επιθέσεις DDoS, όπως το ping of death, πραγματοποιούνται για να διασφαλιστεί η αναστάτωση και μπορούν να χρησιμοποιηθούν ως όπλο σε καταστάσεις αντιπαλότητας από τους ανταγωνιστές.
#2. Επίθεση απογραφής στην Αυστραλία
Αυστραλιανή Στατιστική Υπηρεσία Το ABS 2016 υπέστη επίθεση DDoS, όπου οι πολίτες δεν μπορούσαν να έχουν πρόσβαση στον ιστότοπο του προεδρείου για να συμμετάσχουν στην απογραφή. Η επίθεση στο PoD των επιτιθέμενων είχε στόχο τη συμφόρηση του δικτύου για να εμποδίσει τους Αυστραλούς να συμμετάσχουν στην απογραφή.
#3. Επίθεση λανθασμένης ταυτότητας του Whitehouse PoD
Το 2001, α ιστότοπος παρωδίας του Λευκού Οίκου, whitehouse.org, ήταν θύμα της επίθεσης Ping of Death. Ο στόχος του εισβολέα ήταν ο ιστότοπος whitehouse.gov, αλλά τον μπέρδεψαν με το whitehouse.org – έναν αδύναμο ιστότοπο παρωδίας.
Ο Brook Talley, ο οποίος ανακάλυψε την επίθεση, ανέφερε ότι για 13 ώρες, ο ιστότοπος είχε λάβει μια μεγάλη πλημμύρα από αιτήματα ηχώ του ICMP. Ανακαλύφθηκε ότι ο στόχος των επιτιθέμενων ήταν να επιτεθούν και να προκαλέσουν άρνηση υπηρεσίας DoS στον ιστότοπο whitehouse.gov.
Βέλτιστες πρακτικές για να μείνετε ασφαλείς από μια επίθεση Ping of Death
Οι εισβολείς αξιοποιούν τις ευπάθειες και τα κενά μέσα στα συστήματα για να αποκτήσουν πρόσβαση. Κάθε σύστημα και υπηρεσία πρέπει να διασφαλίζει ότι τα συστήματά τους προστατεύονται επαρκώς για τη διατήρηση της ασφάλειας και των ελαττωμάτων του συστήματος που θα μπορούσαν να αξιοποιηθούν. Ακολουθούν ορισμένες βέλτιστες πρακτικές που μπορούν να σας βοηθήσουν να διατηρήσετε το σύστημά σας ασφαλές.
Διατηρήστε τα συστήματά σας ενημερωμένα
Η βέλτιστη πρακτική είναι να διασφαλίσετε ότι το σύστημά σας διαθέτει την πιο πρόσφατη ενημέρωση κώδικα και ενημέρωση. Ενημερώσεις και ενημερώσεις κώδικα στο σύστημα αναπτύσσονται συνεχώς για να διασφαλιστεί ότι επιδιορθώνονται όλα τα ζητήματα ασφαλείας και γνωρίζοντας ότι οι εισβολείς αξιοποιούν αυτά τα ζητήματα ασφαλείας, η διατήρηση του συστήματός σας ενημερωμένο θα βοηθήσει στην αποτροπή αυτής της ευπάθειας.
Πακέτο φίλτρου
Η επίθεση Ping of death αξιοποιεί τη μεταφορά πακέτων. Κάθε πακέτο περιέχει την κεφαλίδα, η οποία φιλοξενεί τη διεύθυνση IP προέλευσης, τη διεύθυνση IP προορισμού, το πρωτόκολλο και τη θύρα, ενώ το ωφέλιμο φορτίο δεδομένων περιλαμβάνει τα δεδομένα που θα μεταδοθούν.
Η προσθήκη ενός τείχους προστασίας φιλτραρίσματος πακέτων βοηθά στο φιλτράρισμα του πακέτου που αποστέλλεται στον διακομιστή από έναν πελάτη και διασφαλίζει ότι εκπληρώνεται μόνο το πακέτο που πληροί τον απαιτούμενο κανόνα. Ωστόσο, το μειονέκτημα είναι ότι το σύστημα θα μπορούσε να αποκλείσει τα νόμιμα αιτήματα.
Τμηματοποίηση δικτύου
Ένας από τους στόχους των επιθέσεων DDoS είναι να παγώσει τις υπηρεσίες από τη χρήση νόμιμων αιτημάτων. Η τμηματοποίηση του δικτύου σας είναι επίσης μια βέλτιστη πρακτική, καθώς βοηθά στον μετριασμό της απόλυτης έλλειψης της υπηρεσίας σας. Η απομόνωση κρίσιμων υπηρεσιών και δεδομένων σε διάφορες τοποθεσίες θα καταστήσει διαθέσιμους άλλους πόρους που θα χρησιμοποιηθούν ως εναλλακτική λύση σε περίπτωση επίθεσης.
Παρακολούθηση της κυκλοφορίας
Η συνεχής παρακολούθηση της κυκλοφορίας του δικτύου και των αρχείων καταγραφής μπορεί να είναι ένας έγκαιρος εντοπισμός έναντι πολλών επιθέσεων DDoS, συμπεριλαμβανομένου του ping of death. Αυτό σας βοηθά να κατανοήσετε την τακτική κίνηση του συστήματός σας από την μη φυσιολογική κίνηση και να σχεδιάσετε προληπτικά μέτρα για τον εντοπισμό ανώμαλης ροής κυκλοφορίας.
Χρησιμοποιήστε λύσεις DDoS
Αρκετές εταιρείες αναπτύσσουν μια λύση που θα βοηθήσει στον μετριασμό ή την έγκαιρη ανίχνευση αυτών των επιθέσεων. Η ενσωμάτωση αυτής της υπηρεσίας στο σύστημά σας μπορεί να προσθέσει ένα επίπεδο προστασίας στο σύστημά σας. Παρακάτω είναι μερικές από αυτές τις λύσεις που θα μπορούσαν να αξιοποιηθούν.
#1. Cloudflare
Cloudflare είναι μια από τις κορυφαίες λύσεις κατά των επιθέσεων DDoS. Παρέχει στο σύστημά σας μια προστασία τριών επιπέδων από επίθεση στα επίπεδα επτά, το επίπεδο εφαρμογής (L4) και το δίκτυο (L3).
Το Cloudflare προσφέρει Firewwall-as-a-service που βοηθά στη δημιουργία κανόνων και πολιτικών για τον μετριασμό της ανεπιθύμητης πρόσβασης πακέτων. Με το ενσωματωμένο σύστημα παρακολούθησης, το Cloudflare παρακολουθεί συνεχώς τις δραστηριότητες του δικτύου έναντι οποιασδήποτε μορφής επίθεσης DDoS.
#2. Imperva
Imperva λύση κατά των επιθέσεων DDoS όπως τα PoD ships με άμεση ειδοποίηση για κακόβουλες δραστηριότητες, προσβάσιμη και συνεχή παρακολούθηση της κυκλοφορίας του δικτύου και εύκολη ενσωμάτωση στα εργαλεία SEIM. Το Impreva προσφέρει προστασία στον ιστότοπο, το δίκτυο και την ατομική προστασία IP.
Το Impreva μπορεί να διακόψει την κακόβουλη κυκλοφορία μέσω ενός συστήματος που εκτελεί όλη την εισερχόμενη κίνηση μέσω των κέντρων καθαρισμού Imperva, διασφαλίζοντας ότι επεξεργάζονται μόνο τα νόμιμα αιτήματα.
Ποια είναι η διαφορά μεταξύ του Ping of Death (PoD) και του Smurf ή του SYN Flood Attack;
Η επίθεση SYN Flood είναι μια επίθεση DDoS που στοχεύει τη διαδικασία χειραψίας TCP, σε αντίθεση με το PoD, το οποίο στοχεύει το ICMP. Αυτή η επίθεση περιλαμβάνει την αποστολή μεγάλου αριθμού πακέτων TCP SYN (συγχρονισμού) από τον εισβολέα με πλαστές διευθύνσεις IP πηγής.
Το σύστημα επεξεργάζεται την απόκριση, εκχωρεί πόρους και περιμένει το ACK (επιβεβαίωση) από τον πελάτη, το οποίο δεν αποστέλλεται ποτέ. Καταναλώνει τον πόρο του συστήματος και αποκλείει την πρόσβαση σε νέα αιτήματα από την επεξεργασία.
Η επίθεση Smurf, από την άλλη πλευρά, είναι επίσης μια επίθεση DDoS που αξιοποιεί τη διεύθυνση εκπομπής ICMP και IP, στην οποία πολλά πακέτα ICMP μεταδίδονται σε ένα δίκτυο με τη διεύθυνση IP του θύματος ως προέλευση, με αποτέλεσμα το δίκτυο να παγώνει.
Βήμα που πρέπει να ακολουθήσετε σε περίπτωση εμφάνισης επίθεσης PoD
Σε περίπτωση επιτυχούς επίθεσης PoD, πρέπει να αρχίσετε να εργάζεστε αμέσως για να επαναφέρετε το σύστημά σας στη λειτουργική του κατάσταση. Όσο περισσότερο το σύστημα/η υπηρεσία σας είναι εκτός λειτουργίας, τόσο μεγαλύτερη ζημιά προκαλεί η επίθεση PoD στη φήμη του συστήματός σας. Ακολουθούν ορισμένα σημεία που πρέπει να έχετε κατά νου στην περίπτωση που συμβαίνει αυτό.
Ξεχωριστό σύστημα
Είναι σημαντικό να μπορείτε να απομονώσετε διαφορετικά μέρη του συστήματός σας. Ο στόχος κάθε επίθεσης είναι να αποκτήσει πρόσβαση σε ένα μόνο θέμα ευπάθειας που θα δώσει πρόσβαση σε ολόκληρο το σύστημα. Εάν αυτό δεν ελεγχθεί και δεν γίνει εγκαίρως και η επίθεση μπορεί να διαρκέσει περισσότερο με το σύστημα, μπορεί να προκληθεί μεγαλύτερη ζημιά.
Εντοπίστε την πηγή
Η παρακολούθηση είναι ζωτικής σημασίας για τον εντοπισμό ανωμαλιών μέσα σε ένα σύστημα. Σε περίπτωση επίθεσης, η πηγή της επίθεσης πρέπει να εντοπιστεί όσο το δυνατόν γρηγορότερα για να διασφαλιστεί ότι η πηγή αποκόπτεται από την επεξεργασία περαιτέρω ζημιών, επειδή όσο περισσότερο παραμένει η πηγή, τόσο μεγαλύτερη είναι η ζημιά που έχει προκληθεί.
Εκτελέστε την ενημέρωση συστήματος
Μετά από μια επίθεση, είναι σημαντικό να ελέγχετε για τυχόν ενημερώσεις συστήματος και ενημερώσεις κώδικα που δεν έχουν γίνει, καθώς το PoD χρησιμοποιεί κυρίως τρωτά σημεία. Αυτές οι ενημερώσεις κώδικα και ενημερώσεις γίνονται συνήθως για να διορθωθούν αυτά τα σφάλματα.
Σχεδιάστε και παρακολουθήστε για μια μελλοντική επίθεση
Ο σχεδιασμός για την εμφάνιση μιας επίθεσης βοηθά έναν οργανισμό να έχει μια λίστα με δραστηριότητες που πρέπει να γίνουν σε περίπτωση συμβάντος. Αυτό βοηθά στην άμβλυνση του φόρτου της μη γνώσης τι να κάνετε όταν συμβαίνει ένα περιστατικό. Η συνεχής παρακολούθηση είναι κρίσιμη για την έγκαιρη ανίχνευση αυτών των επιθέσεων.
Αναφορά περιστατικού
Η αναφορά οποιασδήποτε επίθεσης είναι απαραίτητη για να διασφαλιστεί ότι οι αρχές είναι ενήμερες για το ζήτημα και βοηθούν στον εντοπισμό και τον εντοπισμό των επιτιθέμενων.
Τελικές σκέψεις
Η ασφάλεια είναι ένα ουσιαστικό μέρος και ένα από τα κλειδιά της επιτυχίας καθώς περισσότερες υπηρεσίες μετακινούνται στο cloud. Οι οργανισμοί που προσφέρουν υπηρεσίες και λύσεις θα πρέπει να διασφαλίζουν ότι λαμβάνουν όλα τα μέτρα από την πλευρά τους για την αποφυγή διαρροής για έναν εισβολέα στο σύστημά τους.
Στη συνέχεια, μπορείτε επίσης να εξερευνήσετε κορυφαία προστασία DDoS που βασίζεται σε σύννεφο για ιστότοπους μικρών και επιχειρήσεων.