Ping flood je jednoduchá forma DoS útoku, jejíž účelem je zpomalení cílového stroje. Ve větším nasazení se dá zpomalit i celá síťová infrastruktura. V tomto případě už však cílem není server, ale například router.
Koncept útoku je jednoduchý. Útočník pošle na cíl velké množství požadavků přes protokol ICMP. Konkrétně zprávu Echo Request. Cíl pak odpovídá Echo Reply. Pro zvýšení efektivity, však na odpověď už útočník nečeká. Prostě posílá jeden dotaz za druhým, v co nejkratších intervalech.
Výhodou tohoto útoku je, že každý prvek v síti, který má přidělenou IP adresu, by měl poslat odpověď. Tedy alespoň v standardním nastavení. Samotní síťoví administrátoři totiž ping používají pro zjištění dostupnosti jednotlivých síťových prvků. Ovšem v dnešní době už narazíte na firewall prakticky všude.
Nevýhodou pak je, že cíl „neshodíte“ ale spíš zpomalíte. Respektive cílem je třeba server a nikoliv konkrétní web, a ten se jen zpomalí, většinou mu vyčerpáte konektivitu. Samozřejmě za předpokladu, že cíl nemá proti tomuto druhu útoku obranu, máte dostatečnou přenosovou rychlost anebo cíl nemá dostatečný výpočetní výkon procesoru.
Zkráceně, pro úspěšný útok si většinou nevystačíte s jedním strojem, ale je nutné použít botnet a provést DDoS útok. Na druhou stranu existují služby, které jsou ping flood náchylnější. Příznakem tohoto útoku je totiž zvýšená odezva serveru, což je problém například u herních serverů, online streamovacích serverů anebo služeb pro komunikaci mezi lidmi v reálném čase (teamspeak, mumble apod.)
Jak ping flood probíhá prakticky
Vzhledem k tomu, že ping flood už je regulérní útok a v porovnáním s předchozím application level flood se jen těžko bude dát zamaskovat za zátěžový test, provedeme útok na intranetu.
Útok bude opět velice primitivní. Na jednom počítači necháme provádět 10x ping na IP adresu notebooku. Budeme posílat 65500 bytů. U druhého budu sledovat, co to udělá s přenosy.
Takže si všechno pěkně naaranžujeme a spustíme 10x ping. Na notebooku je firewall od Esetu, který je na podobné pokusy stavěný, takže jej na okamžik vypnu 🙂
Po vypnutí firewall probíhá samotný útok. Odezva se z desítek milisekund protáhne na stovky. Dokonce tam v jeden okamžik dojde vypršení časového limitu.
A co se děje na druhé straně? I přes zapnutý firewall je vidět menší síťový provoz.
Po vypnutí firewall se začne projevovat samotný ping flood útok. Jako správný DoS začne uždibovat z konektivity.
V podstatě jsem si ukousl 5,3 Mb/s konektivity. Zpomalení procesoru je prakticky neznatelné, v jednotkách procent. Standardně mají VPS 100 Mbps konektivitu, takže bych potřeboval mít 200 otevřených příkazových řádků 🙂
Obrana proti Ping flood
Řešením je firewall, který bude filtrovat ICMP requesty, popřípadě je rovnou zahazovat. Zjisti z jaké IP adresy útok směřuje a zabanovat jí. V případě rozsáhlejších DDoS útoků se bez pomoci provozovatele hostingu (VPS) stejně zřejmě neobejdete.
Tento článek byl byl přečten 3074 krát