Ataque DDoS de inundação ping (ICMP)

O que é um ataque de inundação Ping (ICMP)?

Uma inundação ping é um ataque de negação de serviço no qual o invasor tenta sobrecarregar um dispositivo visado com pacotes de solicitação de eco ICMP, fazendo com que o alvo se torne inacessível para o tráfego normal. Quando o tráfego de ataque se origina em vários dispositivos, o ataque torna-se um DDoS ou ataque Distribuído de Negação de Serviço.

Como funciona um ataque de inundação Ping?

O Protocolo de Mensagens de Controle da Internet (ICMP), utilizado em um ataque de inundação Ping, é um protocolo de camada de internet utilizado por dispositivos de rede para comunicação. As ferramentas de diagnóstico de rede traceroute e ping, operam ambas usando o ICMP. Geralmente, as mensagens de solicitação de eco e resposta de eco ICMP são usadas para fazer um ping em um dispositivo de rede com o propósito de diagnosticar a saúde e a conectividade do dispositivo e a conexão entre o remetente e o dispositivo.

Uma solicitação de ICMP necessita de alguns recursos do servidor para processar cada solicitação e enviar uma resposta. A solicitação também requer largura de banda tanto na mensagem recebida (solicitação de eco) quanto na resposta enviada (resposta de eco). O ataque de inundação Ping visa sobrecarregar a capacidade do dispositivo alvo de responder ao alto número de solicitações e/ou sobrecarregar a conexão de rede com tráfego falso. Com muitos dispositivos em uma botnet atacando o mesmo ativo da internet ou componente de infraestrutura com solicitações de ICMP, o tráfego de ataque aumenta substancialmente, resultando potencialmente em uma interrupção da atividade normal da rede. Historicamente, os invasores frequentemente falsificariam um endereço de IP falso a fim de dissimular o dispositivo de envio. Com os modernos ataques de botnet, os atores maliciosos raramente veem a necessidade de dissimular o IP do bot e, em vez disso, confiam em uma grande rede de bots não falsificados para saturar a capacidade de um alvo.

A forma DDoS de uma inundação Ping (ICMP) pode ser dividida em duas etapas que se repetem:

1. O invasor envia muitos pacotes de solicitação de eco ICMP para o servidor visado usando vários dispositivos.
2. O servidor visado então envia um pacote de resposta de eco ICMP para cada endereço de IP do dispositivo solicitante como resposta.

O efeito prejudicial de uma inundação de Ping é diretamente proporcional ao número de solicitações feitas ao servidor visado. Ao contrário dos ataques DDoS baseados em reflexão, como o de amplificação NTP e amplificação DNS, o tráfego do ataque de inundação Ping é simétrico; a quantidade de largura de banda que o dispositivo visado recebe é simplesmente a soma do tráfego total enviado de cada bot.

Como mitigar um ataque de inundação Ping?

A desativação de uma inundação ping é mais facilmente realizada desativando-se a funcionalidade do ICMP do roteador, computador ou outro dispositivo visado. Um administrador de rede pode acessar a interface administrativa do dispositivo e desativar sua capacidade de enviar e receber quaisquer solicitações usando o ICMP, eliminando efetivamente tanto o processamento da solicitação quanto a resposta de eco. A consequência dessa medida é que todas as atividades da rede que envolvem o ICMP são desativadas, tornando o dispositivo não responsivo às solicitações de ping, às solicitações de traceroute e a outras atividades da rede.

Como a Cloudflare mitiga os ataques de Ping Flood?

A Cloudflare atenua esse tipo de ataque em parte ao ficar entre o servidor de origem visado e a inundação Ping. Quando cada solicitação de ping é feita, a Cloudflare controla o processamento o e o processo de resposta da solicitação de eco ICMP e responde em nossa borda de rede. Essa estratégia tira o custo de recursos tanto da largura de banda quanto da capacidade de processamento do servidor visado e o coloca na rede Anycast da Cloudflare. Saiba mais sobre a Proteção contra DDoS da Cloudflare.