ICMP 攻擊:您需要了解的一切

已發表: 2023-09-19

毫不奇怪,駭客努力尋找一切事物的弱點,從簡單的軟體到支撐我們所知的互聯網結構的最基本的協議。 作為網際網路協定堆疊的重要組成部分之一,網際網路控制訊息協定充當全球訊息載體,傳達有關構成萬維網的網路設備和整個網路狀態的重要資訊。

儘管 ICMP 是一種非常寶貴的通訊工具,但它卻成為攻擊者利用其設計中固有的弱點的潛在途徑。 惡意行為者利用 ICMP 訊息中的信任網路設備,試圖繞過受害者主機部署的安全系統,導致網路操作中斷,最終導致拒絕服務。

作為一組獨特的拒絕服務攻擊,ICMP 攻擊不再是攻擊者工具箱中的主要工具。 然而,它們繼續對線上業務造成嚴重破壞。 Ping 洪水攻擊、smurf 攻擊和所謂的死亡 ping — 所有這些都是 ICMP 攻擊的不同變體,仍然可能對全球網路運營構成威脅。

在本 ICMP 攻擊指南中,您將了解什麼是 ICMP 以及駭客如何使用它對伺服器和整個網路造成拒絕服務。 我們將深入研究 ICMP 攻擊的潛在機制,為您提供必要的知識和工具,以保護您的企業免受其造成的傷害。

ICMP攻擊

什麼是 ICMP?

Internet 控制訊息協定 (ICMP) 是一種網路協議,網路裝置使用該協定來互相傳送操作訊息。 雖然 ICMP 通常被認為是 IP 協定的一部分,因為它的訊息是作為 IP 有效負載攜帶,但 Internet 控制訊息協定位於其之上,並被指定為 IP 資料封包中的上層協定。 然而,它的活動仍然局限於網際網路協定簇的第三層,即網路層。

每個 ICMP 訊息都有一個類型和一個代碼字段,用於指定它傳達的訊息類型及其用途,以及導致生成訊息的原始請求的一部分。 例如,如果目標主機最終無法訪問,則未能將原始請求傳遞給它的路由器將產生 ICMP 類型三代碼一訊息,讓您知道它無法找到到達您指定的伺服器的路徑。

ICMP 有何用途?

大多數時候,ICMP 用於在無法到達目標網路或終端系統的情況下處理錯誤報告。 諸如「目標網路無法存取」之類的錯誤訊息都源自 ICMP,如果您的要求從未完成其預期旅程,則會向您顯示。 由於 ICMP 訊息包含原始請求的一部分,系統將輕鬆將其對應到正確的目的地。

儘管錯誤報告是 Internet 控制訊息協定的主要應用之一,但 ICMP 支援了兩種基本網路診斷工具(ping 和 Traceroute)的功能。 這兩個實用程式都廣泛用於測試網路連接和追蹤刪除網路和終端系統的路徑。 雖然 ping 和 Traceroute 通常可以互換使用,但它們的操作方法卻有很大不同。

Ping 和追蹤路由

Ping 傳送一系列回顯請求類型的 ICMP 訊息,期望來自目標主機的回顯答案。 如果每個請求都收到回應,Ping 將報告來源系統和目標系統之間沒有資料包遺失。 同樣,如果某些訊息由於網路擁塞而從未到達目的地,則實用程式會將這些資料包報告為遺失。

Traceroute 有一個更複雜的機制,並且是為了不同的目的而創建的。 它不是向預期主機發送回顯請求,而是發出大量 IP 封包,這些封包一旦到達預期目的地就會過期。 這樣,接收路由器或主機將被迫產生生存時間 (TTL) 過期的 ICMP 訊息,並將該訊息發送回來源。 收到每個原始資料包的 ICMP 回應訊息後,Traceroute 將獲得形成到目標主機的路由的資料包交換器的名稱,以及原始資料包到達每個交換器所花費的時間。

是什麼讓 ICMP 易於被利用?

由於 ICMP 僅限於開放系統互連 (OSI) 模型的網路層,因此其請求在傳輸前不需要建立連接,TCP 引入並由 TLS 放大的三向握手就是這種情況SSL/TLS 憑證的使用。 這使得向任何系統發送 ping 請求成為可能,從而使其易於利用。

正如您所看到的,儘管 ICMP 已證明自己是全球網路的寶貴組成部分,但它也吸引了想要將其用於惡意目的的網路犯罪分子的注意。 惡意行為者利用 ICMP 實施中存在的弱點對網路和單一主機造成破壞。 透過執行 ICMP 攻擊,駭客將 ICMP 從重要的網路診斷工具轉變為網路中斷的根本原因。

ICMP 攻擊是一種危險性較低的拒絕服務 (DoS) 類型

ICMP 攻擊利用互聯網控制訊息協定的功能,透過請求淹沒目標網路和設備,導致所謂的頻寬泛洪,這是一種拒絕服務 (DoS) 形式,旨在耗盡受害者處理傳入流量的能力。 ICMP 攻擊可以定義為使用 ICMP 訊息作為破壞網路運作的主要工具的拒絕服務攻擊。

與大多數其他類型的拒絕服務攻擊相比,ICMP 攻擊通常被認為危險性較低且更容易防禦。 雖然 ICMP 攻擊仍然可能造成重大損害,但由於以下幾個原因,它們通常更容易偵測和緩解:

  • ICMP 攻擊主要針對網路層。 ICMP 在網際網路協定堆疊的較低層級上運行,與其他拒絕服務攻擊中使用的資料密集型有效負載相比,ICMP 訊息攜帶較小的有效負載。 這使得識別惡意 ICMP 流量變得更加容易。
  • ICMP 攻擊顯示出獨特的模式。 惡意 ICMP 訊息通常表現出獨特的模式,例如來自同一發送者的大量回顯請求或特定錯誤訊息。
  • ICMP 流量更容易限制。 網路管理員可以限制甚至完全停用傳入和傳出 ICMP 流量,這不會對正常操作造成任何明顯的中斷。

ICMP 攻擊的 3 種主要類型

ICMP 攻擊的三種主要類型包括 ping 洪水、Smurf 攻擊和 ping of Death 攻擊。 它們各自使用不同的機制,但主要區別在於網路犯罪分子使用的 ICMP 訊息類型。

正如我們所討論的,除了產生回顯請求並將其定向到目標的 Ping 實用程式之外,ICMP 訊息通常由目標系統生成,以警告來源存在某個問題。 這樣,攻擊者就可以利用更複雜的技術,例如使攻擊的受害者在另一個受害者眼中成為攻擊者,而不是將 ICMP 封包爆發導向受害者的系統。

讓我們仔細看看三種最受歡迎的 ICMP 攻擊類型,看看它們是如何在廣泛引入突出的防禦機制之前對網路造成大規模破壞的。

平洪水

Ping 洪水是 ICMP 攻擊最簡單且最普遍的變體,其中惡意行為者將過量的回顯請求定向到受害者係統或網路。 網路犯罪分子模擬 Ping 實用程式的正常活動,以目標主機的頻寬為目標。

隨著向同一方向發送大量 ICMP 請求,目標的存取連結會被堵塞,從而成功阻止合法流量到達目的地。 由於每個回顯請求都會收到 ICMP 回顯回覆訊息,因此 ping 洪水攻擊可能會導致 CPU 使用率顯著增加,從而降低終端系統的速度,從而導致完全拒絕服務。

與任何其他類型的 DoS 一樣,惡意行為者可以利用多個主機來執行 ping 洪水攻擊,將其轉變為分散式阻斷服務 (DDoS) 攻擊。 使用多個攻擊來源不僅可以放大攻擊的效果,還可以幫助攻擊者避免被發現並隱藏其身分。

分散式阻斷服務攻擊通常利用殭屍網路-由攻擊者控制的受感染端點和網路設備組成的網路。 殭屍網路是透過用一種特殊類型的惡意軟體感染受害者的裝置來創建和擴展的,這些惡意軟體將使殭屍網路的所有者能夠遠端控制受感染的系統。 一旦收到指示,受感染的設備將在合法所有者不知情或未同意的情況下,開始使用 ICMP 回顯請求訊息壓倒 ping 洪水攻擊的目標。

最著名的大規模 ping 洪水攻擊之一發生在 2002 年。網路犯罪分子利用殭屍網路將大量 ICMP 回顯請求訊息定向到 13 個 DNS 根名稱伺服器中的每一個。 幸運的是,由於名稱伺服器後面的資料包交換器已配置為丟棄所有傳入的 ping 訊息,因此該攻擊對全球網路體驗幾乎沒有影響。

藍精靈攻擊

Smurf 攻擊使 ICMP 回顯請求看起來像是來自不同的來源,從而將受害者轉變為攻擊者。 攻擊者透過欺騙發送者位址,將大量 ICMP 訊息定向到一個或多個裝置網絡,希望讓回顯回應淹沒真正受害者的主機(即在原始 ping 請求中指定為來源的系統)。

Smurf 攻擊因其巨大的破壞潛力而一度被認為是電腦網路的主要威脅。 然而,到目前為止,這種攻擊媒介很少被使用,通常被認為是已解決的漏洞。 這是因為絕大多數資料包過濾器都會自動丟棄發送至廣播位址的 ICMP 訊息,這意味著它們會被導向到目標網路上的所有裝置。 指定這樣的規則將防止網路被用於 Smurf 拒絕服務攻擊,從而有效地結束這種攻擊。

死亡之平

雖然 ping 洪水和 smurf 攻擊被認為是基於容量的拒絕服務攻擊,但 ping of Death 是一種漏洞攻擊,旨在透過向目標發送精心設計的 ICMP 訊息來使受害者係統無法運作。 這種 ICMP 攻擊被認為不如我們之前討論的其他兩種 DoS 攻擊那麼普遍。 然而,它具有最大的破壞潛力。

ICMP 訊息在 IP 資料封包中攜帶,其大小有限。 向主機發送格式錯誤或過大的消息可能會導致記憶體溢出,並可能導致整個系統崩潰。 儘管聽起來很危險,但大多數現代系統都配備了足夠的手段來檢測此類異常,從而防止格式錯誤的 ICMP 訊息到達目的地。

如何偵測和緩解 ICMP 攻擊?

駭客無法選擇攻擊哪些網站和伺服器,尤其是在大規模 DDoS 攻擊中。 如果您想知道“駭客為什麼要攻擊我的網站?”,請務必記住,無論出於何種原因,擁有緩解 ICMP 攻擊的知識對於維護在線狀態的安全至關重要。

ICMP 攻擊緩解(特別是在 ping 洪水的情況下)與緩解其他類型的拒絕服務攻擊沒有什麼不同。 關鍵是識別惡意流量並阻止其來源,從而有效地拒絕攻擊者存取伺服器。

然而,您很少需要手動觀察和分析網路流量,因為大多數安全解決方案(從傳統的無狀態資料包過濾器到進階入侵偵測系統(IDS))都是開箱即用的配置,用於限制ICMP 流量的速率並有效緩解ICMP 攻擊。 由於現代安全解決方案的進步,ping 洪水和其他類型的 ICMP 攻擊不再對伺服器和網站構成重大威脅。

如何防禦ICMP攻擊?

針對 ICMP 攻擊的有效防禦策略首先要實施強大的資料包過濾規則,其中包括速率限制甚至完全停用傳入和傳出 ICMP 流量。 雖然阻止所有 ICMP 訊息進入和離開伺服器將導致無法追蹤到伺服器的路由以及無法到達伺服器的 ping 請求,但它對伺服器和網站操作幾乎沒有影響。

通常,出站 ICMP 流量預設受到軟體防火牆的限制,因此您的託管提供者很可能已經為您做到了這一點。 LiquidWeb 和 Nexcess 提供的所有完全託管託管解決方案都配備了強大的防火牆規則,只需很少甚至無需調整即可防禦 ICMP 攻擊。

一般來說,如果您想讓 Ping 和 Traceroute 實用程式在全球網路上發現您的伺服器,您可以選擇對傳入和傳出 ping 請求進行速率限制。 大多數軟體防火牆的預設配置是將每個 IP 位址傳入的 ICMP 回顯請求的數量限制為每秒一個,這是一個很好的起點。

保護伺服器免受 ping 洪水和其他 ICMP 攻擊的一個好方法是使用內容分發網路 (CDN)。 現代 CND 實施強大的防火牆規則並執行深度資料包檢查,從而顯著減少到達伺服器的惡意請求數量。 當遇到ICMP攻擊時,即使是CDN部署的預設防火牆規則集也能有效防禦ICMP攻擊。

使用 iThemes Security Pro 保護您的 WordPress 網站

利用協定堆疊中網路控制訊息的實現,網路犯罪分子可以將網路的基本組成部分轉變為危險武器,用於對企業和個人造成嚴重破壞。 ICMP 攻擊(例如 ping 洪水或 smurf 攻擊)旨在透過大量或惡意 ICMP 訊息淹沒目標主機或網路設備,從而造成拒絕服務。 利用殭屍網路和欺騙來源位址可以幫助駭客使 ICMP 攻擊更加有效,並顯著增加其破壞的可能性。

幸運的是,ICMP 攻擊不再是網站和伺服器的主要威脅,因為現代安全解決方案提供了強大的防禦機制,有助於成功防止和緩解 ping 洪水。 ICMP 攻擊的危險性低於其他針對協定堆疊應用層的拒絕服務 (DoS) 攻擊。

iThemes Security Pro 和 BackupBuddy 始終保護您的 WordPress,確保您在網路安全威脅面前領先一步。 透過靈活的備份計劃和一鍵恢復,您可以放心,您的 WordPress 網站的乾淨工作副本會安全地儲存在駭客無法到達的遠端位置。 先進的強力保護、多因素身份驗證、檔案完整性監控和漏洞掃描將顯著減少攻擊面,並幫助您輕鬆緩解任何威脅。