Что такое пинг флуд

Ping-флуд

ping-флуд

Содержание

Суть атаки

ICMP-сообщение (эхо-запрос) обрабатывается сетевым оборудованием третьего (и выше) уровня. В большинстве случаев это оборудование использует программные средства маршрутизации и обработки пакетов. При этом эхо-запрос требует от устройства принятия пакета, его обработки и формирования/отправки пакета с ответом на запрос. Объём выполняемых действий при этом многократно превышает объём работы по маршрутизации обычного пакета. Размер ICMP-запроса обычно небольшой (около 64 байт, при максимальном размере пакета IP 64 кбайт). В результате, при формальном сохранении небольшого трафика, возникает перегрузка по количеству пакетов, и устройство начинает пропускать остальные пакеты (по другим интерфейсам или протоколам), что и является целью атаки.

Ограничения ICMP флуда

Некоторые провайдеры в договоре оговаривают отдельным пунктом ограничение на скорость ICMP-пакетов, оставляя за собой право прекращения предоставления услуги в случае ICMP флуда, нарушающего работу сетевого оборудования.

Распределённая атака

При распределённой атаке (с нескольких тысяч узлов), ICMP-запросы поступают с обычной скоростью тестирования (около 1 пакета в секунду с узла), но одновременно с нескольких тысяч компьютеров. В этом случае итоговая нагрузка на устройство, являющееся целью атаки, может достигать пропускной способности канала (и заведомо превосходить скорость обработки пакетов устройством).

Противодейcтвие атаке

Для противодействия атаке (помимо блокирования трафика с отдельных узлов и сетей) возможны следующие меры:

См также

Ссылки

Полезное

Смотреть что такое «Ping-флуд» в других словарях:

ping-флуд — (от англ. ping flood, дословно: наводнение (пакетами) ping) тип атаки на сетевое оборудование, ставящий своей целью отказ в обслуживании. Ключевой особенностью (по сравнению с остальными видами флуд атак) является возможность осуществления… … Википедия

Ping of death — Ping of death тип сетевой атаки, при которой компьютер жертва получает особым образом подделанный эхо запрос (ping), после которого он перестает отвечать на запросы вообще (DoS). Эта уязвимость была широко распространена в середине 1990 х… … Википедия

Пинг-флуд — ping флуд (от англ. ping flood, дословно: наводнение (пакетами) отказ в обслуживании. Ключевой особенностью (по сравнению с остальными видами флуд атак) является возможность осуществления атаки «бытовыми средствами» (программами и утилитами,… … Википедия

Пинг флуд — ping флуд (от англ. ping flood, дословно: наводнение (пакетами) отказ в обслуживании. Ключевой особенностью (по сравнению с остальными видами флуд атак) является возможность осуществления атаки «бытовыми средствами» (программами и утилитами,… … Википедия

DoS-атака — (атака типа «отказ в обслуживании», от англ. Denial of Service) атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легальные (правомерные) пользователи системы не могут получить… … Википедия

Отказ в обслуживании — DoS атака (от англ. Denial of Service, отказ в обслуживании) и DDoS атака (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании») атака на вычислительную систему с целью довести её до отказа, то есть, создание … Википедия

Отказ от обслуживания — DoS атака (от англ. Denial of Service, отказ в обслуживании) и DDoS атака (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании») атака на вычислительную систему с целью довести её до отказа, то есть, создание … Википедия

Категория:Атаки и эксплойты — Страницы в категории «Атаки и эксплойты» Показано 27 страниц из 27 имеющихся. * Хакерская атака ЭксплойтA ARP spoofingD Deface DoS атакаF Fork бомбаI IP спуфингL LOICM MAC спуфинг P Ping of death … Википедия

Список IRC-команд — Это список всех команд в IRC (Internet Relay Chat), определённых в RFC IETF 1459 и 2812. Во многих IRC клиентах необходимо, чтобы перед командой находился символ слэша. Угловые скобки (« ») обозначают аргументы команды. Аргументы,… … Википедия

IRC — У этого термина существуют и другие значения, см. IRC (значения). Об IRC в Википедии смотрите страницу Википедия:IRC. IRC Название: Internet Relay Chat Уровень (по модели OSI): Прикладной Семейство: TCP/IP Создан в: 1988 г. Порт/ID … Википедия

Источник

Ping-flooding атака с использованием WinPcap

ICMP протокол

Протокол ICMP является одним из компонентов стека TCP/IP (Transmission Control Protocol/Internet Protocol — протокол управления передачей/протокол сети Internet), который компенсирует неспособность протокола IP гарантированно доставлять данные. Вместе с тем протокол ICMP не устраняет ненадежность передачи данных протоколом IP. Он лишь уведомляет отправителя данных о том, что при их доставке возникли проблемы.

На рисунке показано место протокола ICMP в модели TCP/IP.

Протокол ICMP является механизмом отправки сообщений об ошибках для протокола IP.
Если при доставке дейтаграммы происходит ошибка, протокол ICMP сообщает об этом отправителю дейтаграммы. Например, предположим, что PC1, показанный на следующем рисунке, посылает дейтаграмму PC4. Если соответствующий интерфейс маршрутизатора Вorder выходит из строя, этот маршрутизатор использует протокол ICMP для отправки PC1 сообщения о том, что доставка дейтаграммы оказалась невозможной. Протокол ICMP не устраняет возникшую в сети проблему.

Сообщения протокола ICMP доставляются с использованием протокола IP.
ICMP-сообщения инкапсулируются в дейтаграммы, точно так же, как и обычные данные, доставляемые по протоколу IP. В таблице показана инкапсуляция ICMP-пакета в поле данных IP-дейтаграммы. Заголовок фрейма может формироваться по протоколу локальной сети, такому, как Ethernet, или по протоколу распределенной сети, такому, например, как HDLC.

Заголовок фрейма Заголовок IP-дейтаграммы Заголовок протокола ICMP Данные протокола ICMP
Заголовок фрейма Заголовок IP-дейтаграммы Поле данных IP-дейтаграммы
Заголовок фрейма Поле данных IP-дейтаграммы
Заголовок фрейма Поле данных фрейма

Когда данные поступают на сетевой уровень, они инкапсулируются в дейтаграмму. После этого дейтаграмма и инкапсулированные в ней данные вновь инкапсулируются во фрейм на канальном уровне. Сообщения протокола ICMP содержат в заголовках свою собственную информацию. Однако эта информация вместе с данными протокола ICMP инкапсулируется в дейтаграмму и передается таким же образом, что и все остальные данные. Поэтому сообщения об ошибках также подвержены риску быть утерянными при передаче. Таким образом, может возникнуть ситуация, в которой сами сообщения об ошибках могут создать новые ошибки, что лишь усложнит ситуацию с затором в уже работающей со сбоями сети. По этой причине ошибки, созданные сообщениями ICMP, не генерируют свои собственные ICMP-сообщения. Следовательно, возможен случай, когда при доставке дейтаграммы происходит ошибка, но о ней не сообщается отправителю данных.

Бодание с WinpCap и отправка ping’ов

Все знают команду ping, которая предназначена для отправки эхо-запроса и получения эхо-ответа. Мы же решили, что системного ping’a нам мало и попытались реализовать свою программу ping.
Инструментом для реализации был компилятор С++ и библиотечка WinPcap. WinPcap — Низкоуровневая библиотека для взаимодействия с драйверами сетевых интерфейсов.
И так начинаем сборку ICMP-пакета.
Формат ICMP-пакета успешно был взят с Wiki.

Результаты посмотрим на следующем рисунке.

Видим запрос и ответ. Все ОК.
А что, если поставить левый MAC-адрес отправителя?
А что, если поставить левый IP-адрес отправителя?
А что, если MAC = FF-FF-FF-FF-FF-FF?

Можно пойти на Wiki и увидеть следующее:

ICMP-пакеты никогда не генерируются в ответ на IP-пакеты с широковещательным или групповым адресом, чтобы не вызывать перегрузку в сети (так называемый «широковещательный шторм»).

Попробуем нарушить это правило. С машины с IP 192.168.1.2 будем отправлять ping на 192.168.1.3, при этом IP отправителя будет равен 192.168.1.1, а MAC отправителя FF-FF-FF-FF-FF-FF.

Оказалось, что мы заставили 192.168.1.3 отвечать 192.168.1.1, при том, что последний этого не хотел. Самое интересное, то, что это был широковещательный ping и он прошел!

Смотрим что на других машинах.


На других машинках мы ловим широковещательные запросы.
А раз так, то есть повод написать в программе while(1) и наслаждаться DOS-атакой.

Источник

Ping-flooding атака: что осталось «за кадром» или о пользе дотошности

Собственно, открываю топик по мотивам habrahabr.ru/post/157207
Тема интересная, но некоторые простые, но важные моменты остались за кадром. А жаль. Кому интересно, какие — прошу.

Если отбросить тривиальный разбор icmp, то самой интересной частью материала будет утверждение (подтвержденное скриншотами), что некие целевые (Windows, надо полагать) системы отвечают на icmp-эхо запросы в которых ip назначения соответствует ip пингуемой системы, но mac назначения при этом широковещательный. Правда есть некое несоответствие скриншота тексту, но будем считать это опечаткой и ориентироваться на картинку.

Картинка действительно интересная, особенно, если учесть, что этого быть не должно. Когда-то, во времена баловства с подобными вещами посредством nemesis я четко усвоил, что для Win этот фокус не проходит. Тем больше было удивление — ну не подделал же автор скриншоты.

Искомый ip не отвечает. Проверяем посредством tcpdump, что пакеты нужного вида уходят с интерфейса.
Сразу возник вопрос. А может дело в системе-жертве? В моем случае это была Win XP SP3. Автор топика подтвердил, что у него тоже… Стало интересно. Нашел систему, доступную мне по RDP. Убедился, что icmp запросы с широковещательным dst mac до нее доходят. Ответа нет.
Повторил эксперимент на Win 2008 — результат положительный. В голове зашевелились какие-то теории (они озвучивались в комментариях к топику), но все оказалось гораздо проще.
Ну конечно же это ОН!

Действительно, что не было справедливо для XP, стало реалиями для Vista,7,2008

Гугль помог найти таких же удивленных «сюрпризом» экспериментаторов.

www.packetstan.com/2010/08/windows-lan-addressing-validation-and.html
…
Much to my surprise, the Windows 7 host responds to my unicast Echo Request sent to the broadcast LAN address with an ICMP Echo Reply.

Josh mentioned Windows Vista and 7 accept LAN broadcast traffic sent to unicast IP addresses. I confirmed that Windows Vista SP2 under VMware Fusion 3.1.1 (LAN) in fact does accept this kind of traffic for ICMP, TCP or UDP for broadcast and multicast layer-2 addresses. The most surprising fact is that Windows Vista and 7 accept TCP broadcast traffic. New TCP/IP stack implementations can always include hidden gifts!

Windows XP SP3 (WLAN) does not accept it for any of the protocols (ICMP, TCP or UDP), no matter the layer-2 address used, broadcast or multicast. So, does this mean XP is «more secure regarding Hole 196″ than Vista & 7? 😉

Что-что тут пишут? TCP с броадкастовым mac-ом назначения тоже будет работать? Проверим… Опять вручную выставляем arp связку, telnet на открытый 80 порт сервера под Win 2008 и таки да. Работает.

23:53:53.179517 00:0c:29:22:71:6c > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 74: 10.xx.4.80.35261 > 10.xx.4.20.80: Flags [S], seq 759040421, win 5840, options [mss 1460,sackOK,TS val 2823711033 ecr 0,nop,wscale 7], length 0
23:53:53.180123 00:0c:29:81:23:05 > 00:0c:29:22:71:6c, ethertype IPv4 (0x0800), length 74: 10.xx.4.20.80 > 10.xx.4.80.35261: Flags [S.], seq 1483497967, ack 759040422, win 8192, options [mss 1460,nop,wscale 8,sackOK,TS val 64239843 ecr 2823711033], length 0
23:53:53.180405 00:0c:29:22:71:6c > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 66: 10.xx.4.80.35261 > 10.xx.4.20.80: Flags [.], ack 1, win 46, options [nop,nop,TS val 2823711033 ecr 64239843], length 0

А с другой стороны… Ну работает, ну и что? Такой же эксперимент с linux-системой имел, к слову, тот же результат 🙂

Зато белых пятен стало еще немного меньше. Кому как, а по мне это неплохо. И да, автору промотивировавшей на эксперимент темы — спасибо.

Источник

Что такое Ping of Death или Ping Flood и как это влияет

пинг смерти это одна из многих атак, которым мы можем подвергнуться в сети. Как мы знаем, существует множество угроз, которые могут поставить под угрозу нашу безопасность и поставить под угрозу устройства, которые мы используем. Этот тип проблемы также известен как ping flood. Мы собираемся объяснить, в чем состоит эта угроза и как она может повлиять на нас.

Что такое пинг смерти

К счастью, следует отметить, что сегодня большинство компьютеров больше не подвержены этой проблеме. Это тип нападения, который был очень распространен, особенно в 90-е годы. С тех пор операционные системы исправили эту уязвимость.

Отправляя эхо-запросы такого размера, они не позволяют командам отвечать. Происходит ping flood или ping of death. Это может произойти, если фрагменты пинга такого размера, превышающего 65,536 XNUMX байт, отправляются. Когда компьютер пытается смонтировать полученный пакет, все его фрагменты, происходит насыщение. Это приводит к сбою системы.

Уязвимость присутствует во многих операционных системах

Со временем появились патчи для решения этой проблемы. Фактически, как мы уже упоминали, с конца 90-х эта проблема, за некоторыми исключениями, перестала существовать. Да, до той даты это была гораздо более важная проблема.

Очень легко наносится

Команда Ping появился в 1980-х гг. Он использовал протокол ICMP и использовался для сбора информации из сети и для решения определенных проблем. Дело в том, что годы спустя какой-то пользователь понял, что можно отправить несколько пакетов ICMP размером более 65,536 XNUMX байт.

Это могло, это может оставить без присмотра много команд в кратчайшие сроки. Проблема, которая в конце 90-х коснулась многих компьютеров по всему миру. Операционные системы устранили эту уязвимость, и, к счастью, в настоящее время нам не о чем беспокоиться, если только не появится ошибка, подобная той, которую мы упоминали в Windows в 2013 году.

Таким образом, мы можем сказать, что этот тип угроз был источником DDoS-атак, которые мы сегодня наблюдаем в сети. Эти более современные и изощренные атаки могут отключить критически важные веб-серверы. Мы видели случаи, когда они затрагивали очень популярные платформы, у которых миллионы пользователей по всему миру.

Чтобы избежать проблем этого типа, хотя именно эта проблема сегодня является исключением, лучше всегда правильно обновлять оборудование. Во многих случаях возникают сбои, которые могут быть использованы злоумышленниками. Очень важно всегда иметь самые свежие версии и быть защищенными.

Источник

ping-флуд

Содержание

Суть атаки [ ]

ICMP-сообщение (эхо-запрос) обрабатывается сетевым оборудованием третьего (и выше) уровня. В большинстве случаев это оборудование использует программные средства маршрутизации и обработки пакетов. При этом эхо-запрос требует от устройства принятия пакета, его обработки и формирования/отправки пакета с ответом на запрос. Объём выполняемых действий при этом многократно превышает объём работы по маршрутизации обычного пакета. Размер ICMP-запроса обычно небольшой (около 64 байт, при максимальном размере пакета IP 64 кбайт). В результате, при формальном сохранении небольшого трафика, возникает перегрузка по количеству пакетов, и устройство начинает пропускать остальные пакеты (по другим интерфейсам или протоколам), что и является целью атаки.

Ограничения ICMP флуда [ ]

Некоторые провайдеры в договоре оговаривают отдельным пунктом ограничение на скорость ICMP-пакетов, оставляя за собой право прекращения предоставления услуги в случае ICMP флуда, нарушающего работу сетевого оборудования.

Распределённая атака [ ]

При распределённой атаке (с нескольких тысяч узлов), ICMP-запросы поступают с обычной скоростью тестирования (около 1 пакета в секунду с узла), но одновременно с нескольких тысяч компьютеров. В этом случае итоговая нагрузка на устройство, являющееся целью атаки, может достигать пропускной способности канала (и заведомо превосходить скорость обработки пакетов устройством).

Противодейcтвие атаке [ ]

Для противодействия атаке (помимо блокирования трафика с отдельных узлов и сетей) возможны следующие меры:

См также [ ]

Ссылки [ ]

el:Ping flood en:Ping flood es:Ping flood it:Ping flood pl:Ping flood pt:Ping flood

Источник