Come rilevare un attacco Flood ICMP e proteggere la tua rete

Un attacco ICMP flood è un tipo di attacco denial-of-service (DoS) che utilizza l’Internet Control Message Protocol (ICMP) per sopraffare un sistema di destinazione con le richieste. Può essere utilizzato per indirizzare sia i server che le singole workstation.

Per proteggersi da un attacco ICMP flood, è importante capire cos’è e come funziona.

Che cos’è un attacco Flood ICMP?

Un attacco ICMP flood, noto anche come attacco ping flood o attacco smurf, è un attacco DDoS (Distributed Denial of Service) a livello di rete in cui l’attaccante tenta di sopraffare un dispositivo mirato inviando una quantità eccessiva di ICMP (Internet Control Message Protocol) ) fa eco ai pacchetti di richiesta. Questi pacchetti vengono inviati in rapida successione per sovraccaricare il dispositivo di destinazione, impedendogli così di elaborare il traffico legittimo. Questo tipo di attacco viene spesso utilizzato insieme ad altre forme di attacchi DDoS come parte di un attacco multivettore.

L’obiettivo può essere un server o una rete nel suo complesso. L’enorme volume di queste richieste può causare il sovraccarico della destinazione, con conseguente incapacità di elaborare il traffico legittimo, interruzione dei servizi o persino un completo guasto del sistema.

La maggior parte degli attacchi ICMP flood utilizza una tecnica chiamata “spoofing”, in cui l’aggressore invia pacchetti alla destinazione con un indirizzo di origine contraffatto che sembra provenire da una fonte attendibile. Ciò rende più difficile per il target distinguere tra traffico legittimo e dannoso.

Attraverso lo spoofing, l’attaccante invia un volume elevato di richieste echo ICMP alla destinazione. All’arrivo di ogni richiesta, il target non ha altra scelta che rispondere con una risposta echo ICMP. Ciò può rapidamente sopraffare il dispositivo di destinazione e far sì che non risponda o addirittura si blocchi.

Infine, l’aggressore può inviare pacchetti di reindirizzamento ICMP al bersaglio nel tentativo di interrompere ulteriormente le sue tabelle di instradamento e renderlo incapace di comunicare con altri nodi di rete.

Come rilevare un attacco Flood ICMP

Ci sono alcuni segnali che indicano che potrebbe essere in corso un attacco di inondazione ICMP.

1. Improvviso aumento del traffico di rete

L’indicazione più comune di un attacco ICMP flood è un improvviso aumento del traffico di rete. Questo è spesso accompagnato da un’elevata velocità di pacchetto da un singolo indirizzo IP di origine. Questo può essere facilmente monitorato negli strumenti di monitoraggio della rete.

2. Traffico in uscita insolitamente elevato

Un’altra indicazione di un attacco ICMP flood è il traffico in uscita insolitamente elevato dal dispositivo di destinazione. Ciò è dovuto al fatto che i pacchetti di risposta echo vengono rispediti alla macchina dell’attaccante, che spesso sono in numero maggiore rispetto alle richieste ICMP originali. Se noti un traffico molto più elevato del normale sul tuo dispositivo di destinazione, potrebbe essere un segno di un attacco in corso.

3. Elevate velocità di pacchetto da un singolo indirizzo IP di origine

La macchina dell’aggressore invierà spesso un numero insolitamente elevato di pacchetti da un singolo indirizzo IP di origine. Questi possono essere rilevati monitorando il traffico in entrata verso il dispositivo di destinazione e cercando i pacchetti che hanno un indirizzo IP di origine con un numero di pacchetti insolitamente elevato.

4. Picchi continui nella latenza di rete

La latenza di rete può anche essere un segno di un attacco ICMP flood. Man mano che la macchina dell’attaccante invia sempre più richieste al dispositivo di destinazione, aumenta il tempo necessario affinché i nuovi pacchetti raggiungano la loro destinazione. Ciò si traduce in un continuo aumento della latenza di rete che può eventualmente portare a guasti del sistema se non affrontati correttamente.

5. Aumento dell’utilizzo della CPU sul sistema di destinazione

L’utilizzo della CPU del sistema di destinazione può anche essere un’indicazione di un attacco ICMP flood. Man mano che vengono inviate sempre più richieste al dispositivo di destinazione, la sua CPU è costretta a lavorare di più per elaborarle tutte. Ciò si traduce in un picco improvviso nell’utilizzo della CPU che può causare la mancata risposta del sistema o addirittura l’arresto anomalo se non selezionato.

6. Basso throughput per traffico legittimo

Infine, un attacco ICMP flood può anche comportare un basso throughput per il traffico legittimo. Ciò è dovuto all’enorme volume di richieste inviate dalla macchina dell’aggressore, che sovraccarica il dispositivo di destinazione e gli impedisce di elaborare qualsiasi altro traffico in entrata.

Perché l’attacco ICMP Flood è pericoloso?

Un attacco ICMP flood può causare danni significativi a un sistema bersaglio. Può portare a congestione della rete, perdita di pacchetti e problemi di latenza che possono impedire al normale traffico di raggiungere la sua destinazione.

Inoltre, un utente malintenzionato potrebbe essere in grado di ottenere l’accesso alla rete interna del bersaglio sfruttando le vulnerabilità di sicurezza nel proprio sistema.

Oltre a ciò, l’aggressore potrebbe essere in grado di eseguire altre attività dannose, come l’invio di grandi quantità di dati non richiesti o il lancio di attacchi DDoS (Distributed Denial of Service) contro altri sistemi.

Come prevenire l’attacco Flood ICMP

Esistono diverse misure che possono essere prese per prevenire un attacco di inondazione dell’ICMP.

• Limitazione della velocità : la limitazione della velocità è uno dei metodi più efficaci per prevenire gli attacchi di inondazione ICMP. Questa tecnica comporta l’impostazione del numero massimo di richieste o pacchetti che possono essere inviati a un dispositivo di destinazione entro un determinato periodo di tempo. Tutti i pacchetti che superano questo limite verranno bloccati dal firewall, impedendo loro di raggiungere la loro destinazione.
• Firewall e sistemi di rilevamento e prevenzione delle intrusioni : i firewall e i sistemi di rilevamento e prevenzione delle intrusioni (IDS/IPS) possono essere utilizzati anche per rilevare e prevenire attacchi ICMP flood. Questi sistemi sono progettati per monitorare il traffico di rete e bloccare qualsiasi attività sospetta, come velocità dei pacchetti insolitamente elevate o richieste provenienti da indirizzi IP di origine singola.
• Segmentazione della rete : un altro modo per proteggersi dagli attacchi ICMP flood consiste nel segmentare la rete. Ciò comporta la divisione della rete interna in sottoreti più piccole e la creazione di firewall tra di esse, che possono aiutare a impedire a un utente malintenzionato di ottenere l’accesso all’intero sistema se una delle sottoreti è compromessa.
• Verifica dell’indirizzo di origine: la verifica dell’indirizzo di origine è un altro modo per proteggersi dagli attacchi ICMP flood. Questa tecnica prevede la verifica che i pacchetti provenienti dall’esterno della rete provengano effettivamente dall’indirizzo di origine da cui affermano di provenire. Tutti i pacchetti che non superano questa verifica verranno bloccati dal firewall, impedendo loro di raggiungere la loro destinazione.

Proteggi il tuo sistema dagli attacchi ICMP Flood

Un attacco ICMP flood può causare danni significativi a un sistema bersaglio e viene spesso utilizzato come parte di un attacco dannoso più ampio.

Fortunatamente, esistono diverse misure che è possibile adottare per prevenire questo tipo di attacco, come la limitazione della velocità, l’utilizzo di firewall e sistemi di rilevamento e prevenzione delle intrusioni, la segmentazione della rete e la verifica dell’indirizzo di origine. L’implementazione di queste misure può aiutare a garantire la sicurezza del sistema e proteggerlo da potenziali aggressori.