Hur man förblir säker från Ping of Death DDoS-attack

Med varje tekniskt framsteg kommer en ökning av cybersäkerhetsangripare och hot. I den här artikeln kommer vi att diskutera en av de typer av DDoS-attacker som angripare kan använda för att störa tjänsten inom ett system: Ping of Death och sätt att skydda dig mot det.

Vad är Ping of Death

PING of Death är en DoS-attack (denial of service) där angripare skickar stora paket med data till en tjänst utöver det nödvändiga paketkravet, med det enda syftet att förlama eller göra den specifika tjänsten otillgänglig för andra användare. RFC 791 anger att standard-IP-paketet som krävs är 65 535 byte.

Varje mängd byte över detta kan göra att systemet fryser eller kraschar när förfrågan bearbetas.

Hur fungerar Ping of Death?

Kredit: Wallarm

Ping of death orsakas av att ett överdimensionerat ICMP-paket (Internet Control Message Protocol) skickas över ett nätverk.

En ping (Packet Internet eller Inter-Network Groper) eller ICMP-ekosvar testar en viss nätverksanslutning för att verifiera om nätverket finns och kan acceptera begäran. Detta test utförs genom att skicka en ping, en bit data och förvänta sig ett svar i gengäld.

Baserat på svaret verifieras tjänstens status.

Angripare utför Ping of death DDoS-attacken genom att skicka stora paket, vilket bryter mot RFC791 Internet-protokollet som kräver ett giltigt IPv4-paket på 65 535 byte.

Attack kan inte skicka paket större än denna storlek. Därför skickar de paket i fragment, vilket, när systemet sätter ihop paketet, resulterar i ett överdimensionerat paket, vilket gör att systemet fryser, därav namnet ping of death.

Ping of Death Attack: Exempel

#1. DNC-kampanjen slog till

Under 2018 har Demokratiska nationella kommittén drabbades med en DDoS-attack. Dessa attacker utfördes när DNC och DCCC antingen samlade in pengar eller hade en kandidatökning i popularitet. DDoS-attacker som ping of death utförs för att säkerställa störningar och kan användas som ett vapen i rivalitetssituationer av konkurrenter.

#2. Australiensisk folkräkningsattack

Australian Bureau of Statistics ABS 2016 drabbades av en DDoS-attack, där medborgare inte kunde komma åt byråns webbplats för att delta i folkräkningen. Angriparnas PoD-attack var inriktat på att överbelasta nätverket för att blockera australiensare från att delta i folkräkningen.

#3. Whitehouse felaktig identitet PoD attack

År 2001, a vita husets parodisajt, whitehouse.org, var ett offer för Ping of Death-attacken. Angriparens mål var webbplatsen whitehouse.gov, men de trodde att den var whitehouse.org – en svag parodiwebbplats.

Brook Talley, som upptäckte attacken, nämnde att webbplatsen under 13 timmar hade fått en stor flod av ICMP-ekoförfrågningar. Det upptäcktes att syftet med angriparna var att attackera och orsaka en DoS för denial of service på webbplatsen whitehouse.gov.

Bästa tillvägagångssätt för att hålla sig säker från en Ping of Death Attack

Angripare utnyttjar sårbarheter och kryphål i systemen för att få åtkomst. Varje system och tjänst måste säkerställa att deras system är tillräckligt skyddade för att upprätthålla säkerhet och systembrister som kan utnyttjas. Nedan finns några bästa metoder som kan hjälpa till att hålla ditt system säkert.

Håll dina system uppdaterade

Att se till att ditt system har den senaste patchen och uppdateringen är bästa praxis. Uppdateringar och patchar till systemet utvecklas ständigt för att säkerställa att alla säkerhetsproblem åtgärdas, och vetskapen om att angripare utnyttjar dessa säkerhetsproblem hjälper det att hålla ditt system uppdaterat att blockera denna sårbarhet.

Filtrera paket

Ping of death-attacken utnyttjar överföringen av paket. Varje paket innehåller rubriken, som innehåller käll-IP-adressen, destinations-IP-adressen, protokollet och porten, medan datanyttolasten inkluderar data som ska överföras.

Att lägga till en paketfiltrerande brandvägg hjälper till att filtrera paket som skickas till servern från en klient och säkerställa att endast paket som uppfyller den obligatoriska regeln uppfylls. Nackdelen är dock att systemet kan blockera legitima förfrågningar.

Nätverkssegmentering

Ett av målen med DDoS-attacker är att frysa tjänsterna från att använda legitima förfrågningar. Att segmentera ditt nätverk är också en bästa praxis, eftersom det hjälper till att motverka en direkt brist på din tjänst. Att isolera kritiska tjänster och data på olika platser kommer att göra andra resurser tillgängliga för att användas som en reserv i händelse av en attack.

Övervaka trafiken

Kontinuerlig övervakning av nätverkstrafik och loggar kan vara en tidig upptäckt mot många DDoS-attacker, inklusive dödsping. Detta hjälper dig att förstå ditt systems vanliga trafik från onormal trafik och planera förebyggande åtgärder för att upptäcka onormalt trafikflöde.

Använd DDoS-lösningar

Flera företag utvecklar en lösning för att mildra eller tillhandahålla en tidig upptäckt av dessa attacker. Att integrera denna tjänst i ditt system kan lägga till ett lager av skydd till ditt system. Nedan är några av dessa lösningar som kan utnyttjas.

#1. Cloudflare

Cloudflare är en av de ledande lösningarna mot DDoS-attacker. Det ger ditt system ett trelagersskydd mot attack i lager sju, applikationslagret (L4) och nätverket (L3).

Cloudflare erbjuder Firewwall-as-a-service som hjälper till att skapa regler och policyer för att motverka oönskad paketåtkomst. Med det inbyggda övervakningssystemet övervakar Cloudflare kontinuerligt nätverksaktiviteter mot någon form av DDoS-attack.

#2. Imperva

Imperva lösning mot DDoS-attacker som PoD levereras med omedelbar avisering mot skadliga aktiviteter, tillgänglig och kontinuerlig övervakning av nätverkstrafik och enkel integration med SEIM-verktyg. Impreva erbjuder skydd för webbplatsen, nätverket och individuellt IP-skydd.

Impreva kan stänga av skadlig trafik genom ett system som kör all inkommande trafik genom Impervas skrubbcenter, vilket säkerställer att endast legitima förfrågningar behandlas.

Vad är skillnaden mellan Ping of Death (PoD) och Smurf eller SYN Flood Attack?

SYN Flood-attack är en DDoS-attack riktad mot TCP-handskakningsprocessen, till skillnad från PoD, som riktar sig till ICMP. Denna attack innebär att angriparen skickar ett stort antal TCP SYN (synkronisering)-paket med falska käll-IP-adresser.

Systemet bearbetar svaret, allokerar resurser och väntar på ACK (acknowledgement) från klienten, som aldrig skickas. Det förbrukar systemresursen och blockerar åtkomst till nya förfrågningar från att behandlas.

Smurfattacker, å andra sidan, är också en DDoS-attack som utnyttjar ICMP- och IP-sändningsadresser, där många ICMP-paket sänds till ett nätverk med offrets IP-adress som ursprung, vilket gör att nätverket fryser.

Steg att ta efter i händelse av en PoD-attack

I händelse av en framgångsrik PoD-attack måste du börja arbeta omedelbart för att återställa ditt system till dess funktionella tillstånd. Ju längre ditt system/tjänst är nere, desto mer skada skadar PoD-attacken ditt systems rykte. Nedan finns några punkter att ha i åtanke om detta inträffar.

Separat system

Det är avgörande att kunna isolera olika delar av ditt system. Målet med varje attack är att få tillgång till en enda sårbarhet som ger tillgång till hela systemet. Om detta inte kontrolleras och görs i tid, och attacken kan pågå längre med systemet, kan mer skada ske.

Hitta källan

Övervakning är avgörande för att identifiera avvikelser i ett system. I händelse av en attack måste källan till attacken identifieras så snabbt som möjligt för att säkerställa att källan är avskuren från att behandla ytterligare skador eftersom ju längre källan finns kvar, desto större skada görs.

Kör systemuppdatering

Efter en attack är det avgörande att leta efter eventuella systemuppdateringar och patchar som inte har gjorts eftersom PoD främst utnyttjar sårbarheter; dessa patchar och uppdateringar görs vanligtvis för att fixa dessa buggar.

Planera och övervaka för en framtida attack

Planering för förekomsten av en attack hjälper en organisation att ha en lista över aktiviteter som måste göras i händelse av en incident. Detta hjälper till att lindra bördan av att inte veta vad man ska göra när en incident inträffar. Kontinuerlig övervakning är avgörande för tidig upptäckt av dessa attacker.

Rapportera incident

Att rapportera alla attacker är viktigt för att säkerställa att myndigheterna är medvetna om problemet och hjälper till att hitta och spåra angriparna.

Slutgiltiga tankar

Säkerhet är en viktig del och en av nycklarna till framgång när fler tjänster flyttar till molnet. Organisationer som erbjuder tjänster och lösningar bör se till att de vidtar alla åtgärder från sin sida för att undvika en läcka för en angripare i deras system.

Därefter kan du också utforska det bästa molnbaserade DDoS-skyddet för små till företagswebbplatser.