Tấn công Ping of Death là gì?
Ping of Death (còn gọi là PoD) là một loại tấn công từ chối dịch vụ (DoS), trong đó kẻ tấn công cố gắng làm sập, mất ổn định hoặc đóng băng máy tính hoặc dịch vụ được nhắm mục tiêu, bằng cách gửi các gói tin có định dạng sai hoặc quá lớn bằng lệnh ping đơn giản.
Các cuộc tấn công PoD khai thác những điểm yếu cũ có thể đã được vá trong những hệ thống mục tiêu. Tuy nhiên, trong một hệ thống chưa được vá lỗi, cuộc tấn công vẫn có thể diễn ra và trở nên rất nguy hiểm. Gần đây, một kiểu tấn công PoD mới đã trở nên phổ biến. Trong cuộc tấn công này, thường được gọi là Ping flood, hệ thống được nhắm mục tiêu bị tấn công với các gói ICMP được gửi nhanh chóng qua ping mà không cần chờ trả lời.
Mô tả cuộc tấn công
Kích thước của một gói IPv4 được định dạng chính xác bao gồm tiêu đề IP là 65.535 byte, bao gồm tổng dung lượng payload là 84 byte. Nhiều hệ thống máy tính trong quá khứ chỉ đơn giản là không thể xử lý các gói lớn và sẽ gặp sự cố nếu nhận được chúng. Lỗi này dễ dàng bị khai thác trong các quá trình triển khai TCP/IP ban đầu trong một loạt các hệ điều hành, bao gồm Windows, Mac, Unix, Linux, cũng như các thiết bị mạng, như máy in và router.
Vì việc gửi một gói ping lớn hơn 65.535 byte vi phạm Internet Protocol, những kẻ tấn công nói chung sẽ gửi các gói không đúng định dạng trong những fragment. Khi hệ thống đích cố gắng tập hợp lại các fragment và kết thúc bằng một gói quá lớn, lỗi tràn bộ nhớ có thể xảy ra và dẫn đến nhiều sự cố hệ thống khác nhau bao gồm cả ngừng hoạt động.
Các cuộc tấn công Ping of Death đặc biệt hiệu quả, vì danh tính của kẻ tấn công có thể dễ dàng bị giả mạo. Hơn nữa, kẻ tấn công Ping of Death sẽ không cần tìm hiểu quá chi tiết về máy mà hắn ta đang tấn công, ngoại trừ địa chỉ IP của nó.
Cần lưu ý rằng lỗ hổng này, mặc dù được công nhận là có khả năng khai thác tốt nhất bởi các cuộc tấn công PoD, thực sự có thể bị khai thác bởi bất kỳ thứ gì gửi một IP datagram - ICMP echo, TCP, UDP và IPX.
Phương pháp giảm thiểu tác động của cuộc tấn công Ping of Death
Để tránh các cuộc tấn công Ping of Deatch và những biến thể của nó, nhiều trang web chặn hoàn toàn các thông báo ping ICMP tại tường lửa. Tuy nhiên, cách làm này không khả thi về lâu dài.
Thứ nhất, các cuộc tấn công gói không hợp lệ có thể được hướng đến bất kỳ cổng lắng nghe nào - như cổng FTP - và bạn có thể không muốn chặn tất cả những thứ này, vì lý do hoạt động.
Hơn nữa, bằng cách chặn tin nhắn ping, bạn cũng sẽ ngăn chặn cả việc sử dụng ping hợp pháp - và vẫn có những tiện ích dựa vào ping để kiểm tra xem các kết nối có hoạt động hay không.
Cách tiếp cận thông minh hơn sẽ là chặn chọn lọc các ping phân mảnh, cho phép lưu lượng ping thực sự đi qua mà không bị cản trở.