Atacul ICMP Flood
Ca si in cazul atacului SYN Flood, atacul ICMP Flood are loc prin invadarea calculatorului-victima cu un mare numar de cereri de ICMP Echo cu adrese IP a caror surse sunt falsificate (spoofed).
Acest tip de atac a dat multe dureri de cap administratorilor de retea In trecut asa ca este primul atac „impotriva caruia s-a luptat si care a fost contracarat”, prin diferite metode. Cea mai simpla a fost dezactivarea totala a pachetelor ICMP de la interfetele necunoscute, iar cea mai complicata a fost aceea de supraveghere a vitezei de tranmisie a cererilor de ICMP si limitarea acestei viteze In caz de agresiune.
O metoda simpla pentru limitarea acestor atacuri o reprezinta inserarea In firewall-ul dumneavoastra, daca este iptables a urmatoarelor linii:
iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 1 -j ACCEPT
iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 1 -j LOG --log-prefix PING-DROP
iptables -A INPUT -p icmp -j DROP
sau
iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type echo-reply -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp -j DROP
Figura 1 Atacul ICMP Flood
Figura 2 Pachetele de tip ICMP ce parasesc sursa atacatorului
Figura 3. Pachetele de tip ICMP ce ajung la victima