การโจมตีแบบกระจายตัวของ DDoS IP/ICMP

การโจมตี DDoS IP/ICMP Fragmentation คืออะไร

Internet Protocol (IP)/Internet Control Message Protocol (ICMP) การโจมตี DDoS แบบกระจายตัวเป็น รูปแบบ ทั่วไป ของ การโจมตีแบบปฏิเสธการให้บริการในการโจมตีดังกล่าว กลไกการกระจายตัวของดาตาแกรมจะถูกนำมาใช้เพื่อครอบงำเครือข่าย

การกระจายตัวของ IP เกิดขึ้นเมื่อดาตาแกรม IP แตกออกเป็นแพ็กเก็ตขนาดเล็ก ซึ่งจากนั้นจะถูกส่งผ่านเครือข่าย และสุดท้ายก็ประกอบกลับเป็นดาตาแกรมดั้งเดิม ซึ่งเป็นส่วนหนึ่งของกระบวนการสื่อสารปกติ กระบวนการนี้จำเป็นเพื่อให้เป็นไปตามขีดจำกัดขนาดที่แต่ละเครือข่ายสามารถรองรับได้ ขีดจำกัดดังกล่าวเรียกว่าหน่วยการส่งผ่านสูงสุด (MTU)

เมื่อแพ็กเก็ตมีขนาดใหญ่เกินไป จะต้องแบ่งออกเป็นส่วนเล็กๆ เพื่อให้สามารถส่งได้สำเร็จ ซึ่งส่งผลให้มีการส่งแพ็กเก็ตหลายรายการ โดยแพ็กเก็ตหนึ่งมีข้อมูลทั้งหมดเกี่ยวกับแพ็กเก็ต รวมถึงพอร์ตต้นทาง/ปลายทาง ความยาว ฯลฯ นี่คือส่วนเริ่มต้น

แฟรกเมนต์ที่เหลือจะมีเฉพาะส่วนหัว IP (ส่วนหัว IP) บวกกับเพย์โหลดข้อมูล แฟรกเมนต์เหล่านี้ไม่มีข้อมูลเกี่ยวกับโปรโตคอล ความจุ หรือพอร์ต

ผู้โจมตีสามารถใช้การกระจายตัวของ IP เพื่อกำหนดเป้าหมายระบบการสื่อสาร รวมถึงส่วนประกอบด้านความปลอดภัย การโจมตีแบบกระจายตัวตาม ICMP มักจะส่งแฟรกเมนต์ปลอมที่ไม่สามารถจัดเรียงข้อมูลได้ สิ่งนี้จะทำให้แฟรกเมนต์ถูกวางในหน่วยความจำชั่วคราว ใช้หน่วยความจำ และในบางกรณี ทำให้ทรัพยากรหน่วยความจำที่มีอยู่ทั้งหมดหมดลง

สัญญาณของการโจมตี DDoS แบบกระจายตัวของ IP/ICMP

การกระจายตัวของ IP/ICMP จะโจมตีปลายทางด้วยแพ็กเก็ตที่กระจัดกระจาย

การกระจายตัวของ IP/ICMP จะโจมตีปลายทางด้วยแพ็กเก็ตที่กระจัดกระจาย ส่งผลให้ต้องใช้หน่วยความจำเพื่อประกอบชิ้นส่วนทั้งหมดอีกครั้ง และครอบงำเครือข่ายเป้าหมาย

การโจมตีดังกล่าวปรากฏในหลายวิธี:

- การฟลัด UDP - ในการโจมตี DDoS ประเภทนี้ ผู้โจมตีใช้บอตเน็ตเพื่อส่งชิ้นส่วนจำนวนมากจากหลายแหล่ง ในหลายกรณี ผู้รับจะไม่เห็นแฟรกเมนต์เริ่มต้น (แฟรกเมนต์เหล่านี้มักจะหายไปในความสับสนวุ่นวายของแพ็กเก็ตขาเข้า) มันเห็นแพ็กเก็ตจำนวนมากโดยไม่มีแฟรกเมนต์ส่วนหัวของโปรโตคอล แฟรกเมนต์ที่ไม่ใช่การเริ่มต้นเหล่านั้นอาจยุ่งยากเนื่องจากอาจเป็นของเซสชันที่ถูกต้อง แต่โดยส่วนใหญ่แล้วจะเป็นการรับส่งข้อมูลขยะ ผู้รับไม่รู้ว่าสิ่งใดถูกต้องตามกฎหมายและสิ่งใดไม่ถูกต้อง เนื่องจากชิ้นส่วนดั้งเดิมสูญหายไป

- การโจมตี DDoS แบบกระจายตัวของ UDP และ ICMP - ในการโจมตี DDoS ประเภทนี้ แพ็กเก็ต UDP หรือ ICMP ปลอมจะถูกส่ง แพ็กเก็ตเหล่านี้ได้รับการออกแบบให้ดูเหมือนมีขนาดใหญ่กว่า MTU ของเครือข่าย แต่จริงๆ แล้วมีเพียงบางส่วนของแพ็กเก็ตเท่านั้นที่ถูกส่งไป เนื่องจากแพ็กเก็ตนั้นเป็นของปลอมและไม่สามารถประกอบกลับคืนได้ ทรัพยากรของเซิร์ฟเวอร์จึงถูกใช้ไปอย่างรวดเร็ว ซึ่งทำให้เซิร์ฟเวอร์ไม่สามารถรับส่งข้อมูลที่ถูกต้องได้ในที่สุด

- การโจมตี DDoS TCP Fragmentation - การโจมตี DDoS ประเภทนี้หรือที่เรียกว่าการโจมตี Teardropมีเป้าหมายที่กลไกการประกอบ TCP/IP อีกครั้ง ในกรณีนี้ แพ็กเก็ตที่กระจัดกระจายจะไม่ถูกประกอบกลับเข้าไปใหม่ เป็นผลให้แพ็กเก็ตข้อมูลทับซ้อนกันและเซิร์ฟเวอร์เป้าหมายจะโอเวอร์โหลดโดยสิ้นเชิงและหยุดทำงานในที่สุด

• การโจมตีแบบ Ping of Death คืออะไร?

เหตุใดการโจมตีแบบกระจายตัวของ IP/ICMP จึงเป็นอันตราย

การโจมตีแบบกระจายตัวของ IP/ICMP เป็นสิ่งที่อันตรายมาก

การโจมตีแบบกระจายตัวของ IP/ICMP เช่นเดียวกับการโจมตี DDoS อื่นๆ จะครอบงำ ทรัพยากรของ เซิร์ฟเวอร์ เป้าหมาย ด้วยปริมาณการรับส่งข้อมูลขนาดใหญ่ อย่างไรก็ตาม การโจมตี DDoS นี้จะบังคับให้เซิร์ฟเวอร์เป้าหมายใช้ทรัพยากรที่พยายามรวบรวมแพ็กเก็ตอีกครั้ง ซึ่งมักจะทำให้อุปกรณ์เครือข่ายและเซิร์ฟเวอร์หยุดทำงาน ท้ายที่สุด เนื่องจากแฟรกเมนต์ที่ไม่ใช่แฟรกเมนต์ไม่มีข้อมูลใดๆ เกี่ยวกับบริการที่เป็นอยู่ในตอนแรก จึงเป็นเรื่องยากที่จะตัดสินใจว่าแพ็กเก็ตใดปลอดภัยและแพ็กเก็ตใดไม่ปลอดภัย

จะบรรเทาและป้องกันการโจมตี IP/ICMP Fragmentation ได้อย่างไร

แนวทางในการป้องกันการโจมตี DDoS IP/ICMP Fragmentation ขึ้นอยู่กับประเภทและขอบเขตของการโจมตี

แนวทางในการป้องกันการโจมตี DDoS IP/ICMP Fragmentation ขึ้นอยู่กับประเภทและขอบเขตของการโจมตี วิธีการบรรเทาปัญหาที่พบบ่อยที่สุดเกี่ยวข้องกับการตรวจสอบให้แน่ใจว่าแพ็กเก็ตที่เป็นอันตรายได้รับการป้องกันไม่ให้เข้าถึงโฮสต์เป้าหมาย สิ่งนี้เกี่ยวข้องกับการตรวจสอบแพ็กเก็ตขาเข้าเพื่อพิจารณาว่าแพ็กเก็ตละเมิดกฎการกระจายตัวหรือไม่

วิธีการลดการโจมตีแบบปฏิเสธการให้บริการที่เป็นไปได้วิธีหนึ่งคือการบล็อกแฟรกเมนต์ทั้งหมดนอกเหนือจากแฟรกเมนต์เริ่มต้น แต่จะนำไปสู่ปัญหากับการรับส่งข้อมูลที่ถูกต้องซึ่งอาศัยแฟรกเมนต์เหล่านั้น วิธีแก้ปัญหาที่ดีกว่าคือการใช้การจำกัดอัตรา ซึ่งจะทำให้แพ็คเก็ตส่วนใหญ่ลดลง (ทั้งดีและไม่ดี เนื่องจากการจำกัดอัตราไม่ได้แยกความแตกต่างระหว่างอันหนึ่ง) และเซิร์ฟเวอร์เป้าหมายที่ถูกโจมตีจะไม่ได้รับผลกระทบ

แนวทางนี้เสี่ยงต่อการสร้างปัญหากับบริการที่ถูกต้องตามกฎหมายซึ่งต้องอาศัยชิ้นส่วนเล็กๆ น้อยๆ แต่การแลกเปลี่ยนอาจคุ้มค่า ไม่มีวิธีที่จะนำความสำเร็จมาให้ได้ 100% หากคุณกำลังใช้บริการที่ต้องอาศัยแฟรกเมนต์ เช่น DNS คุณสามารถไวท์ลิสต์เซิร์ฟเวอร์เฉพาะที่คุณใช้งานและใช้การจำกัดอัตราสำหรับส่วนที่เหลือได้