S neustálým vývojem technologií narůstá i počet kybernetických hrozeb a útočníků. Tento článek se zaměří na jeden z typů útoků DDoS, které mohou být použity k narušení služeb: Ping of Death, a na to, jak se proti němu bránit.
Co je Ping of Death?
Ping of Death je útok typu DoS (Denial of Service), kdy pachatelé zasílají cílové službě enormní datové pakety, které překračují standardní požadavky. Jejich cílem je ochromit nebo zcela znemožnit přístup k této službě pro ostatní uživatele. RFC 791 stanovuje, že běžný IP paket má velikost 65 535 bajtů.
Jakýkoli objem dat přesahující tuto hranici může způsobit zamrznutí či dokonce selhání systému při pokusu o zpracování požadavku.
Jak funguje Ping of Death?
Útok Ping of Death je vyvolán odesláním nadměrného paketu protokolu ICMP (Internet Control Message Protocol) v síti.
Ping (Packet Internet nebo Inter-Network Groper) je test ICMP echo-reply, který prověřuje konkrétní síťové spojení, aby se zjistilo, zda síť existuje a je schopna přijímat požadavky. Tento test se skládá z odeslání pingu, části dat, a očekávání odezvy.
Podle obdržené odpovědi se pak ověřuje stav služby.
Útočníci realizují útok Ping of Death DDoS odesláním obrovských paketů, čímž porušují internetový protokol RFC791, který vyžaduje platný IPv4 paket o velikosti 65 535 bajtů.
Útočník nemůže odeslat pakety větší než je tato maximální velikost. Proto posílá pakety fragmentované, a když je systém opětovně sestaví, vznikne paket příliš velký, což vede k zamrznutí systému. Odtud pochází i název „Ping of Death“ (Ping smrti).
Příklady útoků Ping of Death
#1. Útok na DNC během kampaně
V roce 2018 byl Demokratický národní výbor (DNC) cílem DDoS útoku. Tyto ataky probíhaly v době, kdy DNC a DCCC shromažďovaly finanční prostředky nebo když jejich kandidáti zaznamenávali nárůst popularity. DDoS útoky, jako je Ping of Death, slouží k vyvolání chaosu a mohou být využity konkurenty jako zbraň v konkurenčních situacích.
#2. Australský útok na sčítání lidu
Australský statistický úřad ABS se v roce 2016 stal obětí DDoS útoku. Občané tak neměli možnost se přihlásit na webové stránky a zúčastnit se sčítání lidu. Cílem útočníků bylo zahlcení sítě, aby tak zabránili Australanům v účasti.
#3. Útok PoD na whitehouse.org
V roce 2001 se parodická stránka Bílého domu, whitehouse.org, stala obětí útoku Ping of Death. Původním cílem útočníka byla stránka whitehouse.gov, ale spletl si ji se slabým parodickým webem whitehouse.org.
Brook Talley, který útok objevil, uvedl, že web po 13 hodin přijímal enormní množství požadavků ICMP echo. Zjistilo se, že útočníci chtěli zaútočit na whitehouse.gov a způsobit tak odepření služby.
Osvědčené postupy pro ochranu před útokem Ping of Death
Útočníci k proniknutí do systémů zneužívají zranitelnosti. Každý systém a služba musí dbát na to, aby byly systémy dostatečně zabezpečeny proti zneužití. Dále jsou uvedeny osvědčené postupy, které pomohou udržet systém v bezpečí.
Udržujte systémy aktualizované
Základem je mít systém s nejnovějšími opravami a aktualizacemi. Aktualizace a záplaty jsou průběžně vydávány, aby se eliminovaly veškeré bezpečnostní problémy. Vzhledem k tomu, že útočníci tyto nedostatky vyhledávají, pravidelná aktualizace systému pomůže zranitelnosti minimalizovat.
Filtrování paketů
Útok Ping of Death využívá přenos paketů. Každý paket má hlavičku se zdrojovou a cílovou IP adresou, protokolem a portem. Datová část obsahuje data určená k přenosu.
Zavedení firewallu k filtrování paketů pomůže analyzovat pakety odeslané na server a zajistit, aby byly propuštěny pouze ty, které odpovídají zadaným pravidlům. Nevýhodou ale je, že systém může blokovat i legitimní požadavky.
Segmentace sítě
Cílem DDoS útoků je znemožnit služby pro oprávněné uživatele. Segmentace sítě je efektivní, protože pomáhá snižovat dopad výpadků. Izolace kritických služeb a dat do různých umístění zajišťuje další zdroje, které mohou být použity jako záloha v případě útoku.
Monitorování provozu
Nepřetržité sledování síťového provozu a protokolů umožňuje včasnou detekci mnoha DDoS útoků, včetně Ping of Death. Díky monitorování můžete rozlišovat mezi běžným a abnormálním provozem a plánovat preventivní opatření k identifikaci anomálního provozu.
Použití DDoS řešení
Řada společností vyvíjí řešení, která usnadňují detekci a zmírnění těchto útoků. Začlenění takové služby do systému může zvýšit jeho ochranu. Níže uvádíme některé z těchto řešení.
#1. Cloudflare
Cloudflare je přední poskytovatel řešení proti DDoS útokům. Poskytuje systému třívrstvou ochranu proti útokům na sedmé aplikační vrstvě (L4) a síti (L3).
Cloudflare nabízí Firewall-as-a-service, který umožňuje nastavení pravidel a zásad pro zmírnění nežádoucího přístupu k paketům. Díky vestavěnému monitorovacímu systému Cloudflare průběžně sleduje síťový provoz a hledá jakékoli formy DDoS útoků.
#2. Imperva
Imperva nabízí ochranu proti DDoS útokům typu PoD s okamžitými upozorněními na podezřelé aktivity, nepřetržitým monitorováním provozu a snadnou integrací s nástroji SEIM. Imperva nabízí ochranu webů, sítí a jednotlivých IP adres.
Imperva dokáže odříznout škodlivý provoz tím, že veškerý příchozí provoz prochází přes čistící centra Imperva. Zajišťuje se tak zpracování pouze legitimních požadavků.
Jaký je rozdíl mezi Ping of Death (PoD), útokem Smurf a SYN Flood?
SYN Flood útok je DDoS útok, který je zaměřený na handshake protokol TCP, na rozdíl od PoD, který je zaměřený na ICMP. Útočník posílá velké množství TCP SYN (synchronizačních) paketů s falešnými zdrojovými IP adresami.
Systém zpracovává odpověď, alokuje zdroje a čeká na ACK (potvrzení) od klienta, které ale nikdy nepřijde. Dochází k vyčerpání systémových zdrojů a blokování zpracování nových požadavků.
Šmoulí útok je rovněž DDoS útok, který využívá ICMP a IP broadcast adresy. Množství ICMP paketů je vysláno do sítě s IP adresou oběti, což způsobí zahlcení a zamrznutí sítě.
Postup v případě výskytu útoku PoD
Po úspěšném útoku PoD je nutné okamžitě začít pracovat na obnovení systému do funkčního stavu. Čím déle systém zůstane mimo provoz, tím větší poškození PoD na reputaci systému způsobí. Dále uvádíme body, které je nutné mít na paměti.
Oddělení systému
Je důležité izolovat různé části systému. Cílem každého útoku je zneužít jediného zranitelného místa, které umožní přístup do celého systému. Pokud toto není včas odhaleno, může dojít k větším škodám.
Vyhledání zdroje
Monitorování je klíčové pro identifikaci abnormalit v systému. V případě útoku musí být zdroj co nejrychleji identifikován, aby se zamezilo dalším škodám. Čím déle zdroj zůstane aktivní, tím větší škody může způsobit.
Aktualizace systému
Po útoku je zásadní zkontrolovat aktualizace systému a záplaty, které nebyly nainstalovány, protože PoD útoky zneužívají zranitelnosti. Tyto záplaty a aktualizace jsou obvykle prováděny právě kvůli opravě těchto chyb.
Plánování a monitorování pro budoucí útoky
Plánování pro případ útoku pomáhá organizaci vytvořit seznam kroků, které je nutné podniknout v případě incidentu. To pomáhá snížit stres z nejistoty v případě útoku. Pro včasnou detekci je nutné nepřetržité monitorování.
Nahlášení incidentu
Nahlášení jakéhokoli útoku je důležité, aby úřady o problému věděly a mohly pomoci vypátrat pachatele.
Závěrečné myšlenky
Zabezpečení je klíčovou součástí a jedním z hlavních pilířů úspěchu, protože stále více služeb se přesouvá do cloudu. Organizace poskytující služby by měly dělat vše pro to, aby zabránily útočníkům proniknout do jejich systému.
Doporučujeme také prozkoumat nejlepší cloudovou ochranu DDoS pro malé i velké weby.