ping-флуд (від англ. ping-flood. дослівно: повінь (пакетами) ping) - тип атаки на мережеве обладнання, що ставить собі за мету відмову в обслуговуванні. Ключовою особливістю (в порівнянні з іншими видами флуд-атак) є можливість здійснення атаки «побутовими засобами» (програмами і утилітами, що входять до складу домашніх / офісних версій операційних систем).
Суть атаки Правити
ICMP-повідомлення (ехо-запит) обробляється мережевим обладнанням третього (і вище) рівня. У більшості випадків це обладнання використовує програмні засоби маршрутизації і обробки пакетів. При цьому луна-запит вимагає від пристрою прийняття пакета, його обробки і формування / відправки пакета з відповіддю на запит. Обсяг виконуваних дій при цьому багаторазово перевищує обсяг роботи по маршрутизації звичайного пакета. Розмір ICMP-запиту зазвичай невеликий (близько 64 байт, при максимальному розмірі пакета IP 64 кбайт). В результаті, при формальному збереженні невеликого трафіку, виникає перевантаження за кількістю пакетів, і пристрій починає пропускати інші пакети (за іншими інтерфейсів чи протоколів), що і є метою атаки.
Обмеження ICMP флуда Правити
Деякі провайдери в договорі обумовлюють окремим пунктом обмеження на швидкість ICMP-пакетів, залишаючи за собою право припинення надання послуги в разі ICMP флуду, що порушує роботу мережевого обладнання.
Згідно зі статтею 272 Кримінального кодексу Росії [1]. дана атака може розглядатися як кримінально-каране злочин.
Розподілена атака Правити
При розподіленої атаки (з декількох тисяч вузлів), ICMP-запити надходять зі звичайною швидкістю тестування (близько 1 пакету в секунду з вузла), але одночасно з декількох тисяч комп'ютерів. В цьому випадку підсумкова навантаження на пристрій, що є метою атаки, може досягати пропускної здатності каналу (і свідомо перевершувати швидкість обробки пакетів пристроєм).
Протіводейcтвіе атаці Правити
Для протидії атаці (крім блокування трафіку з окремих вузлів і мереж) можливі наступні заходи:
- відключення відповідей на ICMP-запити (відключення відповідних служб або запобігання відгуку на певний тип повідомлення) на цільовій системі;
- Зниження пріоритету обробки ICMP-повідомлень (при цьому весь інший трафік обробляється в звичайному порядку, а ICMP-запити обробляються за залишковим принципом, в разі перевантаження ICMP-повідомленнями частина з них ігнорується).
- відкидання або фільтрація ICMP-трафіку засобами брандмауера.
- збільшення черги оброблюваних підключень