Was ist ein DDoS-IP-/ICMP-Fragmentierungsangriff?
Der DDoS-Angriff mit Fragmentierung des Internet Protocol (IP)/Internet Control Message Protocol (ICMP) ist eine häufige Form eines Denial-of-Service-Angriffs . Bei einem solchen Angriff werden Mechanismen zur Fragmentierung von Datagrammen genutzt, um das Netzwerk zu überlasten.
IP-Fragmentierung tritt auf, wenn IP-Datagramme in kleine Pakete zerlegt werden, die dann im Rahmen des normalen Kommunikationsprozesses über das Netzwerk übertragen und schließlich wieder zum ursprünglichen Datagramm zusammengesetzt werden. Dieser Prozess ist notwendig, um die Größenbeschränkungen einzuhalten, die jedes Netzwerk verarbeiten kann. Eine solche Grenze wird als Maximum Transmission Unit (MTU) bezeichnet.
Wenn ein Paket zu groß ist, muss es in kleinere Fragmente aufgeteilt werden, um erfolgreich übertragen zu werden. Dies führt dazu, dass mehrere Pakete gesendet werden, von denen eines alle Informationen über das Paket enthält, einschließlich Quell-/Zielports, Länge usw. Dies ist das anfängliche Fragment.
Die verbleibenden Fragmente umfassen nur einen IP-Header (IP-Header) und eine Datennutzlast. Diese Fragmente enthalten keine Informationen über Protokolle, Kapazität oder Ports.
Angreifer können IP-Fragmentierung nutzen, um Kommunikationssysteme und Sicherheitskomponenten ins Visier zu nehmen. ICMP-basierte Fragmentierungsangriffe senden häufig gefälschte Fragmente, die nicht defragmentiert werden können. Dies führt wiederum dazu, dass Fragmente im temporären Speicher abgelegt werden, was Speicher belegt und in einigen Fällen alle verfügbaren Speicherressourcen erschöpft.
Anzeichen eines IP/ICMP-Fragmentierungs-DDoS-Angriffs
IP/ICMP-Fragmentierung bombardiert das Ziel mit fragmentierten Paketen
Durch die IP/ICMP-Fragmentierung wird das Ziel mit fragmentierten Paketen bombardiert, was dazu führt, dass es Speicher verwendet, um alle Fragmente wieder zusammenzusetzen, und das Zielnetzwerk überlastet.
Solche Angriffe äußern sich auf unterschiedliche Weise:
- UDP-Flooding – Bei dieser Art von DDoS-Angriff verwenden Angreifer ein Botnetz , um große Mengen an Fragmenten aus mehreren Quellen zu versenden. In vielen Fällen sieht der Empfänger das Startfragment nicht (diese Fragmente gehen oft im Chaos der eingehenden Pakete verloren). Es werden lediglich viele Pakete ohne Protokoll-Header-Fragmente erkannt. Diese nicht-anfänglichen Fragmente sind schwierig, da sie möglicherweise zu einer legitimen Sitzung gehören, in den meisten Fällen handelt es sich jedoch um Junk-Traffic. Der Empfänger hat keine Ahnung, welches legitim ist und welches nicht, da das Originalfragment verloren gegangen ist.
- UDP- und ICMP-Fragmentierungs-DDoS-Angriff – Bei dieser Art von DDoS-Angriff werden gefälschte UDP- oder ICMP-Pakete übertragen. Diese Pakete sollen so aussehen, als wären sie größer als die MTU des Netzwerks, aber nur Teile des Pakets werden tatsächlich gesendet. Da die Pakete gefälscht sind und nicht wieder zusammengesetzt werden können, werden die Ressourcen des Servers schnell verbraucht, was schließlich dazu führt, dass der Server für legitimen Datenverkehr nicht mehr verfügbar ist.
- DDoS-TCP-Fragmentierungsangriff – Diese Art von DDoS-Angriff, auch Teardrop-Angriff genannt , zielt auf TCP/IP-Reassemblierungsmechanismen ab. In diesem Fall werden fragmentierte Pakete nicht wieder zusammengesetzt. Dadurch überlappen sich Datenpakete und der Zielserver wird völlig überlastet und stellt schließlich den Betrieb ein.
Warum sind IP-/ICMP-Fragmentierungsangriffe gefährlich?
IP/ICMP-Fragmentierungsangriffe sind sehr gefährlich
IP/ICMP-Fragmentierungsangriffe überfordern wie viele andere DDoS-Angriffe die Ressourcen des Zielservers durch das große Datenverkehrsvolumen. Dieser DDoS-Angriff zwingt den Zielserver jedoch auch dazu, Ressourcen zu nutzen, um Pakete wieder zusammenzusetzen, was häufig zum Absturz von Netzwerkgeräten und Servern führt. Da nicht fragmentierte Fragmente zunächst keine Informationen über den Dienst enthalten, zu dem sie gehören, ist es schließlich schwierig zu entscheiden, welche Pakete sicher sind und welche nicht.
Wie können IP-/ICMP-Fragmentierungsangriffe abgeschwächt und verhindert werden?
Der Ansatz zur Verhinderung von DDoS-IP-/ICMP-Fragmentierungsangriffen hängt von der Art und dem Ausmaß des Angriffs ab.
Der Ansatz zur Verhinderung von DDoS-IP-/ICMP-Fragmentierungsangriffen hängt von der Art und dem Ausmaß des Angriffs ab. Die gebräuchlichsten Abhilfemaßnahmen bestehen darin, sicherzustellen, dass bösartige Pakete daran gehindert werden, Zielhosts zu erreichen. Dabei werden eingehende Pakete daraufhin untersucht, ob sie gegen Fragmentierungsregeln verstoßen.
Eine mögliche Methode zur Abwehr von Denial-of-Service-Angriffen besteht darin, alle Fragmente außer dem Startfragment zu blockieren. Dies würde jedoch zu Problemen mit legitimem Datenverkehr führen, der auf diesen Fragmenten basiert. Eine bessere Lösung ist die Verwendung einer Ratenbegrenzung, die die meisten Pakete verwirft (sowohl gute als auch schlechte, da die Ratenbegrenzung nicht zwischen ihnen unterscheidet) und der angegriffene Zielserver davon nicht betroffen ist.
Bei diesem Ansatz besteht die Gefahr, dass Probleme mit legitimen Diensten entstehen, die auf Fragmenten basieren, aber der Kompromiss könnte sich lohnen. Es gibt keine Methode, die 100 % Erfolg bringt. Wenn Sie Dienste verwenden, die auf Fragmenten basieren, wie z. B. DNS, können Sie die spezifischen Server, auf die Sie sich verlassen, auf die Whitelist setzen und für den Rest eine Ratenbegrenzung verwenden.
Sehen Sie in der rechten Ecke des Bildschirms eine Windows 10-Aktivierungsbenachrichtigung? In diesem Artikel erfahren Sie, wie Sie den Copyright-Anfragehinweis unter Windows 10 löschen.
Kürzlich hat Microsoft das neueste kumulative Update für Windows 10-PC-Benutzer namens Build 14393.222 veröffentlicht. Dieses für Windows 10 veröffentlichte Update behebt hauptsächlich Fehler basierend auf Benutzerfeedback und verbessert die Leistung des Betriebssystems.
Gibt es Computer in Ihrem lokalen Netzwerk, die externen Zugriff benötigen? Die Verwendung eines Bastion-Hosts als Gatekeeper für Ihr Netzwerk kann eine gute Lösung sein.
Wenn Sie lieber eine alte klassische Tastatur wie das IBM Model M verwenden möchten, die keine physische Windows-Taste enthält, können Sie ganz einfach weitere hinzufügen, indem Sie sich eine Taste ausleihen, die Sie nicht oft verwenden. .
Manchmal müssen Sie möglicherweise alle alten Ereignisprotokolle auf einmal löschen. In dieser Anleitung zeigt Ihnen Quantrimang.com drei Möglichkeiten zum schnellen Löschen aller Ereignisprotokolle in der Windows 10-Ereignisanzeige.
In vielen früheren Artikeln haben wir erwähnt, dass es äußerst wichtig ist, online anonym zu bleiben. Jedes Jahr werden private Informationen preisgegeben, wodurch Online-Sicherheit immer wichtiger wird. Das ist auch der Grund, warum wir virtuelle IP-Adressen verwenden sollten. Im Folgenden erfahren Sie mehr über Methoden zur Erstellung gefälschter IPs!
WindowTop ist ein Tool, das alle Anwendungsfenster und Programme, die auf Windows 10-Computern ausgeführt werden, dimmen kann. Alternativ können Sie unter Windows eine Benutzeroberfläche mit dunklem Hintergrund verwenden.
Die Sprachleiste unter Windows 8 ist eine Miniatur-Sprachsymbolleiste, die automatisch auf dem Desktop-Bildschirm angezeigt wird. Viele Leute möchten diese Sprachleiste jedoch in der Taskleiste ausblenden.
Drahtlose Konnektivität ist heutzutage eine Notwendigkeit und daher ist drahtlose Sicherheit unerlässlich, um die Sicherheit in Ihrem internen Netzwerk zu gewährleisten.
Die Maximierung der Internetgeschwindigkeit ist für die Optimierung Ihrer Netzwerkverbindung von entscheidender Bedeutung. Mit Computern, internetfähigen Fernsehern, Spielekonsolen usw. können Sie ein optimales Unterhaltungs- und Arbeitserlebnis genießen.
