Ping-(ICMP)-Flood-DDoS-Angriff

Ein DDoS-Angriff, der eine Zieladresse mit ICMP-Anfragen überflutet.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Einen Ping-Flood-DDoS-Angriff definieren
  • Den Ablauf eines Ping-Flood-Angriffs erklären
  • Die Typen von Ping-Angriffen kennen
  • Strategien zur Bekämpfung von Ping-Flood-Angriffen implementieren

Link zum Artikel kopieren

Was ist ein Ping-(ICMP)-Flood-Angriff?

Eine Ping-Flood ist ein Denial-of-Service-Angriff, bei dem der Angreifer versucht, ein Zielgerät mit ICMP-Echoanforderungspaketen zu überfluten, damit das Ziel für normalem Datenverkehr nicht mehr zugänglich ist. Wenn der Angriffs-Traffic von mehreren Geräten stammt, wird der Angriff zu einem DDoS-Angriff, d. h. zu einem verteilten Denial-of-Service-Angriff.

Wie läuft ein Ping-Flood-Angriff ab?

Das Internet Control Message Protocol (ICMP), das bei einem Ping-Flood-Angriff verwendet wird, ist ein Internet-Layer-Protokoll, das von Netzwerkgeräten zur Kommunikation eingesetzt wird. Die Netzwerkdiagnosetools Traceroute und Ping funktionieren beide mit ICMP. Gewöhnlich werden ICMP-Echoanforderungs- und Echoantwortmeldungen verwendet, um ein Netzwerkgerät zum Zweck der Diagnose von Zustand und Konnektivität des Geräts und der Verbindung zwischen dem Sender und dem Gerät zu pingen.


Bei einer ICMP-Anfrage ist es erforderlich, dass Serverressourcen jede Anfrage verarbeiten und eine Antwort senden. Für die Anfrage ist auch Bandbreite sowohl bei der eingehenden Meldung (Echoanforderung) als auch bei der Antwort (Echoantwort) erforderlich. Der Ping-Flood-Angriff zielt darauf ab, das Zielgerät zu überlasten, so dass es die große Anzahl von Anfragen nicht beantworten kann, und/oder die Netzwerkverbindung mit Bogus-Traffic zu überfluten. Wenn viele Geräte in einem Botnetz mit ICMP-Anfragen auf dieselbe Internetwebsite oder Infrastrukturkomponente abzielen, wird der Angriffs-Traffic beträchtlich erhöht und führt potentiell zu einer Unterbrechung der normalen Netzwerkaktivität. In der Vergangenheit haben Angreifer oft eine gefälschte IP-Adresse vorgetäuscht, um das sendende Gerät zu maskieren. Bei modernen Botnetz-Angriffen sehen die böswilligen Akteure selten die Notwendigkeit, die IP des Bots zu maskieren, und verlassen sich statt dessen auf ein großes Netzwerk nicht gespoofter Bots, um die Kapazität einer Zieladresse zu sättigen.

Die DDoS-Form einer Ping-(ICMP)-Flood kann in zwei sich wiederholende Schritte unterteilt werden:

  1. Der Angreifer sendet viele ICMP-Echoanforderungspakete mit mehreren Geräten an den Zielserver.
  2. Der Zielserver sendet daraufhin als Reaktion ein ICMP-Echoantwortpaket an die IP-Adresse jedes anfragenden Geräts.
Ping ICMP DDoS Attack Diagram

Der schädigende Effekt einer Ping-Flood steht in direktem Verhältnis zu der Anzahl der Anfragen, die an den Zielserver gestellt werden. Anders als Reflection-basierte DDoS-Angriffe wie NTP-Amplification und DNS-Amplification ist Ping-Flood-Angriffs-Traffic symmetrisch. Der Umfang der Bandbreite, die das Zielgerät empfängt, ist einfach die Summe des gesamten, von jedem Bot gesendeten Traffics.

Wie wird ein Ping-Flood-Angriff bekämpft?

Um eine Ping-Flood unwirksam zu machen, ist es am einfachsten, die ICMP-Funktionalität des angegriffenen Routers, Computers oder anderen Geräts zu deaktivieren. Ein Netzwerkadministrator kann auf die Verwaltungsschnittstelle des Geräts zugreifen und deren Fähigkeit zum Senden und Empfangen von Anfragen mit dem ICMP deaktivieren, wodurch sowohl die Verarbeitung der Anfrage als auch die Echoantwort effektiv eliminiert werden. Infolgedessen werden alle Netzwerkaktivitäten, die das ICMP umfassen, deaktiviert, und das Gerät reagiert nicht mehr auf Ping-Anfragen, Traceroute-Anfragen und andere Netzwerkaktivitäten.

Wie bekämpft Cloudflare Ping-Flood-Angriffe?

Zur teilweisen Bekämpfung dieses Angriffstyps stellt sich Cloudflare zwischen den angegriffenen Ursprungsserver und die Ping-Flood. Bei jeder Ping-Anfrage übernimmt Cloudflare die Verarbeitung und die Reaktion auf die ICMP-Echoanforderung und -antwort an unserem Netzwerkrand. Durch diese Strategie wird der Zielserver von den Ressourcekosten Bandbreite und Verarbeitungsleistung entlastet, die Cloudflares Anycast-Netzwerk auferlegt werden. Erfahren Sie mehr über Cloudflares DDoS-Schutz.