یک حمله سیلاب ICMP نوعی حملهٔ انکار سرویس (DoS) است که از پروتکل پیام کنترل اینترنت (ICMP) برای اشباع یک سیستم هدف با درخواستها استفاده میکند. این میتواند برای هدف قرار دادن هر دو سرور و ایستگاه کاری فردی مورد استفاده قرار گیرد.
یک حمله سیل ICMP نوعی حمله رد سرویس (DoS) است که از پروتکل پیام کنترل اینترنت (ICMP) استفاده میکند تا یک سیستم هدف را با درخواستها غرق کند. میتواند برای هدف قرار دادن هر دو سرور و ایستگاه کاری فردی استفاده شود.
برای محافظت در برابر حمله سیل ICMP، مهم است که بدانیم آن چیست و چگونه کار میکند.
حمله سیل ICMP چیست؟
یک حمله سیل ICMP، که همچنین به عنوان حمله سیل پینگ یا حمله اسمرف شناخته میشود، یک حمله لایه شبکه DDoS (انکار سرویس توزیعشده) است که در آن مهاجم سعی میکند یک دستگاه هدف را با ارسال تعداد بیش از حد زیاد بستههای درخواست echo (پینگ) ICMP غلبه کند. این بستهها به سرعت متوالی ارسال میشوند تا دستگاه هدف را غرق کنند و از پردازش ترافیک معتبر جلوگیری کنند. این نوع حمله اغلب به همراه سایر انواع حملات DDoS به عنوان بخشی از یک حمله چندبردار استفاده میشود.
هدف ممکن است یک سرور یا یک شبکه به طور کلی باشد. حجم عظیم این درخواستها میتواند باعث اشباع هدف شده و منجر به عدم توانایی در پردازش ترافیک معتبر، اختلال در خدمات یا حتی خرابی کامل سیستم شود.
بعضی از حملات سیل ICMP از تکنیکی به نام «جعل» استفاده میکنند، به طوری که مهاجم بستهها را با آدرس منبع جعلشده که به نظر میرسد از یک منبع قابل اعتماد باشد، به هدف میفرستد. این کار تشخیص ترافیک معتبر از مخرب را برای هدف دشوارتر میکند.
از طریق جعل، مهاجم حجم بالایی از درخواستهای echo ICMP را به هدف میفرستد. هنگام دریافت هر درخواست، هدف چانهای برای پاسخ دادن جز ارسال پاسخ echo ICMP ندارد. این میتواند سرعتاً دستگاه هدف را غرق کند و باعث ناپاسخگو یا حتی سقوط آن شود.
در نهایت، ممکن است مهاجم بتواند بستههای تغییر مسیر ICMP را به هدف بفرستد تا جدولهای مسیر یابی آن را بیشتر مختل کند و ارتباط هدف با سایر گرههای شبکه را ناممکن سازد.
چگونه یک حمله سیل ICMP را شناسایی کنیم
نشانههای خاصی وجود دارد که نشان میدهد یک حمله سیل ICMP ممکن است در حال وقوع باشد.
1. افزایش ناگهانی ترافیک شبکه
معمولترین نشانه یک حمله سیل ICMP، افزایش ناگهانی ترافیک شبکه است. این معمولاً با نرخ بالای بستهها از یک آدرس IP منبع واحد همراه است. این موضوع میتواند به سادگی در ابزارهای مانیتورینگ شبکه بررسی شود.
2. ترافیک خروجی غیرعادی بالا
نشانه دیگر یک حمله سیل ICMP، ترافیک خروجی غیرعادي بالا از دستگاه هدف است. این به دلیل ارسال بستههای پاسخ echo به دستگاه مهاجم است که معمولاً تعداد آنها بیش از درخواستهای اولیه ICMP است. اگر متوجه ترافیکی شدید که به مراتب بیش از حالت معمول بر دستگاه هدف شماست، میتواند نمایانگر حملهای در حال انجام باشد.
3. نرخ بالای بستهها از یک آدرس IP منبع واحد
دستگاه مهاجم اغلب تعداد فوقالعاده بالایی از بستهها را از یک آدرس IP منبع واحد میفرستد. این بستهها میتوانند با مانیتورینگ ترافیک ورودی به دستگاه هدف و بررسی بستههایی که آدرس IP منبع آنها شمارش بسته غیرعادی بالا دارد، شناسایی شوند.
4. نوسانات مداوم تاخیر شبکه
تاخیر شبکه نیز میتواند نشانهای از یک حمله سیل ICMP باشد. هرچه دستگاه مهاجم درخواستهای بیشتری به دستگاه هدف ارسال کند، زمان رسیدن بستههای جدید به مقصد افزایش مییابد. این منجر به افزایش مداوم تاخیر شبکه میشود که در صورت عدم رسیدگی میتواند به شکست سیستم منجر شود.
5. افزایش استفاده از CPU در سیستم هدف
استفاده از CPU سیستم هدف نیز میتواند نشانهای از حمله سیل ICMP باشد. هرچه درخواستهای بیشتری به دستگاه هدف ارسال شود، CPU آن مجبور به کار سختتر برای پردازش همه آنها میشود. این منجر به افزایش ناگهانی استفاده از CPU میگردد که میتواند سیستم را ناپاسخگو یا حتی منجر به سقوط آن شود اگر کنترل نشود.
6. توان عملیاتی کم برای ترافیک معتبر
در نهایت، یک حمله سیل ICMP میتواند منجر به توان عملیاتی پایین برای ترافیک معتبر شود. این به دلیل حجم عظیم درخواستهای ارسال شده توسط دستگاه مهاجم است که دستگاه هدف را غرق میکند و از پردازش هر ترافیک ورودی دیگر جلوگیری میکند.
چرا حمله سیل ICMP خطرناک است؟
یک حمله سیل ICMP میتواند خسارت قابل توجهی به سیستم هدف وارد کند. این میتواند منجر به ازدحام شبکه، از دست رفتن بستهها و مشکلات تاخیر شود که مانع از رسیدن ترافیک عادی به مقصد میشود.
علاوه بر این، ممکن است مهاجم بتواند با بهرهبرداری از آسیبپذیریهای امنیتی در سیستم هدف، به شبکه داخلی هدف دسترسی پیدا کند.
علاوه بر این، ممکن است مهاجم بتواند فعالیتهای مخرب دیگری انجام دهد، مانند ارسال مقادیر زیاد دادههای ناخواسته یا راهاندازی حملات انکار سرویس توزیعشده (DDoS) علیه سیستمهای دیگر.
چگونه از حمله سیل ICMP جلوگیری کنیم
چندین اقدام میتوان برای جلوگیری از حمله سیل ICMP انجام داد.
- محدودسازی نرخ: محدودسازی نرخ یکی از مؤثرترین روشها برای جلوگیری از حملات سیل ICMP است. این تکنیک شامل تنظیم حداکثر تعداد درخواستها یا بستههاست که میتوانند در یک بازه زمانی معین به دستگاه هدف ارسال شوند. هر بستهای که از این حد تجاوز کند، توسط فایروال مسدود میشود و از رسیدن به مقصد جلوگیری میکند.
- فایروال و سیستمهای کشف & جلوگیری از نفوذ: فایروالها و سیستمهای کشف و جلوگیری از نفوذ (IDS/IPS) میتوانند برای شناسایی و جلوگیری از حملات سیل ICMP نیز استفاده شوند. این سیستمها برای مانیتورینگ ترافیک شبکه و مسدود کردن فعالیتهای مشکوک، مانند نرخ بالای بستهها یا درخواستها از آدرسهای IP منبع واحد، طراحی شدهاند.
- تقسیمبندی شبکه: یک روش دیگر برای محافظت در برابر حملات سیل ICMP، تقسیمبندی شبکه است. این کار شامل تقسیم شبکه داخلی به زیرشبکههای کوچکتر و ایجاد فایروال بین آنهاست که میتواند از دسترسی مهاجم به کل سیستم جلوگیری کند در صورتی که یک زیرشبکه به خطر بیفتد.
- تأیید آدرس منبع: تأیید آدرس منبع یک روش دیگر برای محافظت در برابر حملات سیل ICMP است. این تکنیک شامل بررسی این است که بستههای ورودی از خارج از شبکه واقعاً از آدرسی که ادعا میکنند میآیند یا نه. هر بستهای که این تأیید را نتواند بگذرد، توسط فایروال مسدود میشود و از رسیدن به مقصد جلوگیری میکند.
سیستم خود را از حملات سیل ICMP محافظت کنید
یک حمله سیل ICMP میتواند خسارت قابل توجهی به یک سیستم هدف برساند و اغلب به عنوان بخشی از یک حمله مخرب بزرگتر استفاده میشود.
خوشبختانه، چندین اقدام وجود دارد که میتوانید برای جلوگیری از این نوع حمله انجام دهید، مانند محدودسازی نرخ، استفاده از فایروالها و سیستمهای کشف و جلوگیری از نفوذ، تقسیمبندی شبکه، و تأیید آدرس منبع. اجرای این اقدامات میتواند به تضمین امنیت سیستم شما کمک کند و آن را در برابر مهاجمان احتمالی محافظت نماید.