I firewall possono aiutare ad indirizzare il traffico dannoso, ma non sono sempre sufficienti a prevenire tutti gli attacchi ping flood.
Un attacco ping flood, anche noto come PoD (Ping of Death), è un attacco DoS (Denial-of-Service) in cui un criminale tenta di rendere un servizio o un dispositivo di rete non disponibile per il traffico legittimo sovraccaricandolo di pacchetti dati ICMP. Gli attacchi ping flood possono essere attacchi DoS sferrati da un singolo dispositivo o da una botnet in attacco DDoS (Distributed Denial-of-Service).
A quale scopo viene progettato un attacco ping ICMP flood?
Inondando un server, un router o una rete con un elevato numero di richieste, un attacco ping ICMP flood può causare il blocco o il rallentamento delle performance di un dispositivo, determinando un "servizio negato" per il traffico e gli utenti legittimi. Quando un attacco ping flood prende di mira i sistemi business-critical, i conseguenti problemi di downtime possono condurre alla perdita di produttività, ricavi, clienti e reputazione. Gli attacchi ping flood possono anche consentire ai criminali di identificare i sistemi vulnerabili all'interno di una rete, raccogliendo le informazioni da poter usare per sferrare più attacchi mirati.
Come agisce un attacco ping flood?
Una richiesta ping è uno strumento diagnostico utilizzato con il protocollo ICMP (Internet Control Message Protocol) per testare la connettività tra due computer. Un dispositivo invia un pacchetto di richieste echo ping ad un altro dispositivo, che risponde con un messaggio di risposta echo. Il valore RTT (Round-Trip Time) per questo scambio rivela la velocità della connessione di rete tra i dispositivi.
In un attacco ICMP ping flood, gli hacker tentano di sovraccaricare un sistema preso di mira inviando più pacchetti di richieste echo ping al sistema. Ogni richiesta ICMP richiede una risposta che utilizza una certa larghezza di banda e alcune risorse del server preso di mira. Man mano che aumenta il numero di richieste echo ping, il dispositivo preso di mira esaurisce le sue risorse e rallenta le operazioni o si blocca, diventando non disponibile per gestire il traffico normale e le richieste legittime. Esistono altri metodi con cui i criminali sfruttano il protocollo ICMP per utilizzare in modo improprio o violare i sistemi presi di mira, tuttavia la risposta echo è il metodo più comune.
Quali sono i diversi tipi di attacchi ping flood?
- Divulgazione locale del sistema preso di mira. Questo attacco ping flood prende di mira uno specifico computer su una rete locale tramite l'indirizzo IP del dispositivo di destinazione.
- Divulgazione del router. Questo tipo di attacco prende di mira i router per interrompere le comunicazioni tra i computer su una rete. I criminali devono disporre dell'indirizzo IP interno dello switch o del router locale.
- Ping cieco. Questo attacco utilizza un programma esterno per individuare l'indirizzo IP del router del computer di destinazione prima di sferrare l'attacco.
Attività aziendali che subiscono l'impatto degli attacchi ping flood
Gli attacchi ping flood possono interrompere gravemente le attività online di un'organizzazione, mettendo a repentaglio la sicurezza dell'infrastruttura locale o sul cloud e rendendo i servizi non disponibili per gli utenti legittimi. Le interruzioni e i mancati servizi che ne conseguono possono influire notevolmente sulle aziende, soprattutto su quelle che si basano molto sui servizi online. I criminali spesso utilizzano indirizzi IP e botnet falsificati per amplificare l'impatto dell'attacco, rendendolo più difficile da mitigare.
Le organizzazioni possono proteggere le loro attività utilizzando varie tecniche di mitigazione, come il filtraggio del traffico, la limitazione della velocità e sistemi di rilevamento delle anomalie. I sistemi di protezione dalle minacce azionati dall'uomo e/o basati sull'IA possono rilevare e rispondere alle minacce in tempo reale, mentre le piattaforme per la sicurezza nel cloud e gli endpoint integrati offrono una protezione completa dagli attacchi ICMP flood e da altre minacce informatiche.
I settori maggiormente a rischio
Alcuni settori sono maggiormente a rischio di subire attacchi DDoS, tra cui gli attacchi ping flood. Di seguito, vengono riportati alcuni esempi di questi settori.
- Banking, servizi finanziari e assicurazioni (BFSI): questi settori finanziari vengono spesso presi di mira dai criminali per la natura sensibile dei dati che gestiscono e per il loro elevato livello di dipendenza dai servizi online. Un attacco riuscito può interrompere le attività finanziarie di importanza critica e compromettere i dati sensibili dei clienti. Il settore BFSI è il più colpito dagli attacchi ping flood.
- Settore dell'istruzione: questo settore subisce un elevato numero di attacchi, specialmente all'inizio dell'anno scolastico. La crescente dipendenza degli istituti di istruzione dalle piattaforme online per l'apprendimento e l'amministrazione li rende un obiettivo di primaria importanza.
- Telecomunicazioni: il settore delle telecomunicazioni è spesso preso di mira per il suo ruolo fondamentale nel fornire i servizi Internet. Le interruzioni di questo settore possono influire anche su più aziende e singoli utenti che si affidano ai loro servizi.
- Settore dell'intrattenimento e ISP/hosting: anche questi settori sono ad alto rischio di attacchi a causa dell'elevata visibilità e dell'alto numero di clienti. Un attacco riuscito può interrompere i servizi forniti ad un gran numero di utenti e influire in modo notevole sulle aziende.
In che modo è possibile mitigare un attacco ping flood?
I team addetti alla cybersicurezza possono mitigare un attacco ping ICMP in vari modi.
- Disattivazione della funzionalità ICMP. Gli amministratori di rete possono disattivare la funzionalità ICMP di un dispositivo preso di mira impostando un firewall per bloccare la capacità del dispositivo di inviare e ricevere una richiesta tramite il protocollo ICMP. Questa operazione, però, rende anche il dispositivo non disponibile a rispondere ad altre richieste ping legittime, alle richieste traceroute e alle attività di rete, limitando la capacità degli amministratori di diagnosticare i problemi dei servizi.
- Limitazione della velocità. I team addetti alla sicurezza possono mitigare gli attacchi ping flood anche impostando limiti di velocità per l'elaborazione dei messaggi ICMP in arrivo o limitando le dimensioni consentite per le richieste ping.
- Rilevamento delle intrusioni. I sistemi di rilevamento delle intrusioni (IDS) possono monitorare il traffico di rete e identificare i potenziali attacchi in tempo reale.
- Monitoraggio del traffico di rete. Monitorare e analizzare il traffico di rete in modo continuo consente ai team addetti alla sicurezza di identificare i normali modelli di traffico, nonché le anomalie che possono indicare potenziali minacce, come un attacco ping flood.
- Distribuzione delle soluzioni di mitigazione degli attacchi DDoS. Un servizio completo di protezione dagli attacchi DDoS può aiutare a difendersi dagli attacchi ping flood e da altri attacchi DDoS di altro tipo reindirizzando il traffico dannoso prima che raggiunga una rete.
Domande frequenti (FAQ)
I rallentamenti della rete, la mancata risposta dei servizi e un elevato utilizzo della CPU o della larghezza di banda sono un chiaro segno di un attacco ping flood.
Sì, sferrare attacchi ping flood è illegale ed è considerato un crimine informatico nella maggior parte dei paesi.
Sì, sono disponibili strumenti di hacking etico in grado di simulare gli attacchi ping flood per sottoporre a test i sistemi di difesa della rete.
Perché i clienti scelgono Akamai
A sostegno e protezione della vita online c'è sempre Akamai. Le principali aziende al mondo scelgono Akamai per creare, offrire e proteggere le loro experience digitali, aiutando miliardi di persone a vivere, lavorare e giocare ogni giorno. Akamai Connected Cloud, una piattaforma edge e cloud ampiamente distribuita, avvicina le app e le experience agli utenti e allontana le minacce.