Data postarii 2012-06-27      Subiect: Atacul ICMP Flood      Categorie: Securitate server

Atacul ICMP Flood

        Ca si in cazul atacului SYN Flood, atacul ICMP Flood are loc prin invadarea calculatorului-victima cu un mare numar de cereri de ICMP Echo cu adrese IP a caror  surse sunt falsificate (spoofed).

 

      Acest tip de atac a dat multe dureri de cap administratorilor de retea In trecut asa ca este primul atac „impotriva caruia s-a luptat si care a fost contracarat”, prin diferite metode. Cea mai simpla a fost dezactivarea totala a pachetelor ICMP de la interfetele necunoscute, iar cea mai complicata a fost aceea de supraveghere a vitezei de tranmisie a cererilor de ICMP si limitarea acestei viteze In caz de agresiune.

 

O metoda simpla pentru limitarea acestor atacuri o reprezinta inserarea In firewall-ul dumneavoastra, daca este iptables a urmatoarelor linii:

 

          iptables -A INPUT -p icmp -m limit --limit  1/s --limit-burst 1 -j ACCEPT

 

          iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 1 -j LOG --log-prefix PING-DROP

 

          iptables -A INPUT -p icmp -j DROP

 

sau

 

          iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

 

          iptables -A INPUT -i eth0 -p icmp --icmp-type echo-reply -m limit --limit 1/s -j ACCEPT

 

          iptables -A INPUT -p icmp -j DROP

 

 ICMP


Figura 1 Atacul ICMP Flood

 

   

 ICMP

 

 

Figura 2  Pachetele de tip ICMP ce parasesc sursa atacatorului

 

 

 

 

ICMP Figura 3. Pachetele de tip ICMP ce ajung la victima

 

www.dlsit.ro   >> design - linux - servicii - it.ro Pentru orice problema tehnica contactati-ne