Ping flood

Il ping flood è una forma di attacco di tipo denial of service. L’attacco agisce dunque come un “servizio negato”. Con­cet­tual­men­te potete im­ma­gi­na­re l’attacco come se si trattasse di uno scherzo te­le­fo­ni­co: un utente malevolo continua a te­le­fo­na­re e riattacca subito. La linea si blocca e non è più di­spo­ni­bi­le per molto tempo. Non sarà più possibile ri­spon­de­re alle chiamate legittime.

Nei noti attacchi di tipo flood, proprio come il ping flood, l’HTTP flood, il SYN flood e l’UDP flood, il sistema oggetto dell’attacco viene inondato da richieste insensate, fino a quando il so­vrac­ca­ri­co non ne provoca il collasso. Non bisogna però con­fon­de­re il ping flood con il Ping of Death che porta a un collasso diretto del sistema oggetto dell’attacco senza pro­vo­car­ne il so­vrac­ca­ri­co.

Il ping flood è un attacco in­for­ma­ti­co che si rivolge a diversi sistemi collegati alla rete Internet. I sistemi attaccati possono essere sia server sia router o computer di utenti privati.

Dal punto di vista tecnico, il ping flood si basa sull’Internet Control Message Protocol (ICMP). Il pro­to­col­lo e il relativo comando ping si uti­liz­za­no per eseguire test di rete. Un ping flood provoca un’inon­da­zio­ne del computer oggetto dell’attacco con pacchetti ICMP “Echo Request”. Se l’utente che compie l’attacco dispone di molta più banda rispetto alla vittima, quest’ultimo viene sommerso dalla rete.

Per una delle varianti più semplici di quest’attacco, gli hacker (H) inviano da un singolo di­spo­si­ti­vo pacchetti “Echo Request” alla vittima (V). Per non rivelare la propria identità, tramite spoofing, l’utente malevolo maschera anche il suo indirizzo IP. Un computer scelto a caso ac­ces­si­bi­le con questo indirizzo IP (C) viene bom­bar­da­to con i pacchetti “Echo Reply” derivanti. Quest’effetto in senso opposto si definisce “Back­scat­ter”. In alcune varianti dei ping flood, e cioè nei co­sid­det­ti attacchi smurf, il back­scat­ter viene impiegato come un’arma.

Per in­di­riz­za­re un ping flood verso una vittima, l’hacker si serve del comando ping o di un’al­ter­na­ti­va più moderna come lo strumento hping. L’attacco parte dalla riga di comando. Il ping flood si avvia tramite un comando speciale costruito ap­po­si­ta­men­te per l’attacco. Dal punto di vista della sicurezza, vi mostriamo qui un modello ap­pros­si­ma­ti­vo di codice hping:

Guardiamo le varie opzioni:

• L’opzione --icmp indica allo strumento di uti­liz­za­re il pro­to­col­lo ICMP.
• È im­por­tan­te l’opzione --flood. Secondo la do­cu­men­ta­zio­ne del comando hping, questo permette di inviare pacchetti nel modo più veloce possibile. Dall’altra parte l’opzione fa in modo che i pacchetti “Echo Reply” in entrata della vittima vengano respinti in modo inos­ser­va­to. Quindi, se nor­mal­men­te con il comando ping si invia e si attende la risposta, qui si cerca di “spedire” questi comandi nel modo più rapido possibile.
• L’opzione --rand-source falsifica l’indirizzo IP del mittente. Al posto del vero indirizzo IP del mittente viene inserito un indirizzo IP casuale.

Per far partire un ping flood “di­stri­bu­ted”, cioè di­stri­bui­to, l’hacker (H) si serve di botnet (B). I bot sotto il controllo dell’hacker partono da un comando e ciascuno avvia un ping flood contro la vittima (V). Poiché sono più computer a sca­gliar­si contro lo stesso obiettivo, l’hacker disporrà di una banda molto più ampia. Solo un obiettivo ben protetto può resistere all’attacco.

In questo caso l’hacker non invia i pacchetti “Echo Request” dal suo computer e perciò non ha alcun motivo di fal­si­fi­ca­re il proprio indirizzo IP. Al suo posto i bot bom­bar­da­no dal ri­spet­ti­vo indirizzo. Il back­scat­ter ritorna sui computer zombie della botnet.

Esistono prin­ci­pal­men­te tre modi per pro­teg­ger­si dagli attacchi ping flood:

Il metodo più semplice per pro­teg­ger­si dagli attacchi ping flood consiste nel di­sat­ti­va­re le fun­zio­na­li­tà ICPM sul di­spo­si­ti­vo della vittima. Questa misura offre un aiuto immediato durante un attacco, ma può essere uti­liz­za­ta anche a scopo pre­ven­ti­vo per mi­ni­miz­za­re i punti deboli.

Inoltre si possono con­fi­gu­ra­re router e firewall in modo da ri­co­no­sce­re e filtrare il traffico di rete malevolo. Anche tecniche per il load balancing (in italiano: “bi­lan­cia­men­to del carico”) e il rate limiting (“li­mi­ta­zio­ne della velocità”) con­tri­bui­sco­no alla pro­te­zio­ne da attacchi di tipo DoS.

I provider più im­por­tan­ti come Clou­d­fla­re di­spon­go­no di server in data center di­stri­bui­ti a livello globale. Se gestite un vostro sito, potete guidare il traffico dati at­tra­ver­so questi data center riuscendo così ad avere molta più banda a di­spo­si­zio­ne per re­spin­ge­re gli attacchi di tipo DDoS. Inoltre, il traffico dati viene filtrato da sistemi integrati come firewall e tecniche di load balancing e rate limiting.

Solo i grandi leader hanno la pos­si­bi­li­tà di pro­teg­ge­re i loro sistemi con hardware specifici. Questi di­spo­si­ti­vi offrono o riu­ni­sco­no fun­zio­na­li­tà di firewall, tecniche di load balancing e rate limiting e filtrano o bloccano il traffico di rete malevolo.