Tìm hiểu về cuộc tấn công DDoS ICMP Flood

ICMP Flood (Internet Control Message Protocol) còn được gọi là tấn công Ping Flood, là một cuộc tấn công từ chối Dịch vụ (DoS) phổ biến, trong đó kẻ tấn công cố gắng áp đảo mục tiêu thiết bị thông qua ICMP echo request (ping).

Nói chung, các bản tin ICMP echo-request và echo-reply được sử dụng để ping các thiết bị mạng nhằm chẩn đoán tình trạng và kết nối của thiết bị cũng như kết nối giữa người gửi và thiết bị. Bằng cách gửi các gói yêu cầu đến một cách tràn ngập; mạng buộc phải trả lời với một số lượng gói trả lời bằng nhau. Điều này làm cho mục tiêu không thể tiếp cận với lưu lượng truy cập bình thường.

Các kiểu tấn công yêu cầu ICMP khác có thể liên quan đến các công cụ hoặc mã tùy chỉnh; chẳng hạn như hping và scanpy. Lưu lượng tấn công từ nhiều thiết bị được coi là một cuộc tấn công từ chối dịch vụ (DDoS) phân tán. Trong loại tấn công DDoS này; các kênh truyền đến và đi của mạng bị lấn át; tiêu tốn nhiều băng thông và gây ra từ chối dịch vụ.

Các dấu hiệu nhận biết của cuộc tấn công ICMP Flood

Các cuộc tấn công ICMP Flood DDoS yêu cầu kẻ tấn công biết địa chỉ IP của mục tiêu. Các cuộc tấn công có thể được chia thành 3 loại; tùy thuộc vào mục tiêu và cách địa chỉ IP được giải quyết:

– Mục tiêu cục bộ bị tiết lộ – Trong kiểu tấn công DDoS này; cuộc tấn công Ping Flood nhắm vào một máy tính cụ thể trên mạng cục bộ. Trong trường hợp này; kẻ tấn công phải lấy trước địa chỉ IP đích.

– Router bị tiết lộ – Ở đây; cuộc tấn công Ping Flood nhắm vào các router với mục tiêu làm gián đoạn liên lạc giữa các máy tính trong mạng. Trong kiểu tấn công DDoS này; kẻ tấn công phải có địa chỉ IP nội bộ của router cục bộ.

– Blind ping – Điều này liên quan đến việc sử dụng một chương trình bên ngoài để tiết lộ địa chỉ IP của máy tính mục tiêu hoặc router trước khi khởi động một cuộc tấn công DDoS.

Tại sao các cuộc tấn công ICMP Flood lại nguy hiểm?

Bởi vì các cuộc tấn công DDoS ICMP Flood áp đảo các kết nối mạng của thiết bị được nhắm mục tiêu với lưu lượng truy cập không có thật; do đó các yêu cầu hợp pháp bị ngăn chặn. Kịch bản này tạo thành mức độ nguy hiểm của cuộc tấn công DoS hoặc DDoS (trong trường hợp có nhiều cuộc tấn công phối hợp).

Điều làm cho vectơ tấn công này trở nên nguy hiểm hơn là trong quá khứ; những kẻ tấn công sẽ giả mạo một địa chỉ IP sai để che giấu thiết bị gửi. Nhưng với các cuộc tấn công botnet tinh vi ngày nay (đặc biệt là các bot dựa trên IoT); những kẻ tấn công thậm chí không bận tâm đến việc che giấu IP của bot. Thay vào đó; chúng sử dụng một mạng lưới rộng lớn gồm các bot không bị giả mạo để áp đảo máy chủ mục tiêu.

Nên làm gì khi bị tấn công Dos/DDos?

Khi nghi ngờ bị tấn công Dos/DDos; bạn nên liên hệ với nhà cung cấp dịch vụ internet (ISP) để giải quyết vấn đề.

Dù biết rằng mình đang bị tấn công Dos/DDos thì đa phần doanh nghiệp vẫn không thể tự xác định được nguồn hoặc đích của cuộc tấn công. Do đó, hãy liên hệ với các kỹ thuật viên về an ninh mạng hoặc nhà cung cấp dịch vụ cho thuê máy chủ để được hỗ trợ.

Nếu không thể truy cập vào file của mình hoặc các website mở rộng từ máy tính thì bạn nên liên hệ với người quản trị mạng để kiểm tra xem máy tính lẫn mạng của tổ chức có đang bị tấn công hay không.

Ngoài ra, bạn cũng cần liên hệ với nhà cung cấp dịch vụ internet (ISP) để nhận được những lời khuyên hành động thích hợp nếu bị tấn công Dos/DDos.

Nguồn: quantrimang.com