Что может помешать обмену данными между компьютерами во время эхо-запроса

Обновлено: 03.07.2024

В этом документе описываются различные реализации сети, в которых требуется разрешить связь по локальной сети (LAN) между хостами, которые ищут свои общедоступные IP-адреса за Adaptive Security Appliance (ASA).

Предпосылки

Требования

Cisco рекомендует ознакомиться со следующими темами:

Базовая конфигурация Cisco ASA NAT, версия 8.3 и выше.

Используемые компоненты

Информация в этом документе основана на следующих версиях программного и аппаратного обеспечения:

Серии ASA5500 и ASA5500-X.
Cisco ASA версии 8.3 и выше.
Cisco ASA версии 8.2 и старше.

Информация в этом документе была получена с устройств в специальной лабораторной среде. Все устройства, используемые в этом документе, запускались с очищенной (по умолчанию) конфигурацией. Если ваша сеть работает, убедитесь, что вы понимаете потенциальное влияние любой команды.

Проблема: связь по локальной сети между хостами, которые ищут свои общедоступные IP-адреса за ASA

В следующем разделе вы можете увидеть три примера топологии, которые показывают это требование связи, чтобы разрешить связь по локальной сети между хостами, которые ищут свои общедоступные IP-адреса за ASA.

Пример 1. Исходный хост PC-A подключен к внутреннему интерфейсу ASA, а тестовый сервер целевого хоста подключен к интерфейсу DMZ.

Пример 2. Исходный и конечный хосты PC-A и тестовый сервер подключены к одному и тому же внутреннему интерфейсу ASA.

Пример 3. Исходный и конечный хосты PC-A и тестовый сервер подключены к внутреннему интерфейсу ASA, но за другим устройством уровня 3 (это может быть маршрутизатор или многоуровневый коммутатор).

Примечание. Тестовый сервер на трех изображениях имеет статическую трансляцию сетевых адресов (NAT), настроенную в ASA. Эта статическая трансляция NAT применяется извне к соответствующему внутреннему интерфейсу, чтобы обеспечить доступность тестового сервера. извне с общедоступным IP-адресом 64.100.0.5, затем он преобразуется во внутренний частный IP-адрес тестового сервера.

Решение

Чтобы разрешить исходному хосту PC-A доступ к целевому тестовому серверу с его общедоступным IP-адресом вместо частного, нам необходимо применить конфигурацию с двойным NAT. Двойная конфигурация NAT помогает нам преобразовывать IP-адреса источника и получателя пакетов, когда трафик проходит через ASA.

Здесь подробно описана конфигурация с двойной сетью, необходимая для каждой топологии:

Пример 1. Исходный хост PC-A подключен к внутреннему интерфейсу ASA, а тестовый сервер целевого хоста подключен к интерфейсу DMZ.

Конфигурация

Двойной NAT для ASA версии 8.3 и более поздних:

Двойной NAT для ASA версии 8.2 и старше:

Устранение неполадок

Версии вывода Packet Tracer 8.3 и более поздние:

Версии вывода Packet Tracer 8.2 и более ранние:

Пример 2. Исходный и конечный хосты PC-A и тестовый сервер подключены к одному и тому же внутреннему интерфейсу ASA.

Конфигурация

Двойной NAT для ASA версии 8.3 и более поздних:

Двойной NAT для ASA версии 8.2 и старше:

Примечание. Основная цель преобразования NAT исходного IP-адреса с 10.1.1.5 на IP-адрес внутреннего интерфейса ASA 10.1.1.1 — заставить ответы, поступающие от хоста 10.1.1.6, возвращаться в ASA, это крайне необходимо, чтобы избежать асимметричной маршрутизации и позволить ASA обрабатывать весь трафик между заинтересованными хостами, если мы не преобразуем исходный IP-адрес, как мы сделали в этом примере, тогда ASA заблокирует заинтересованный трафика из-за асимметричной маршрутизации.

Устранение неполадок

Версии вывода Packet Tracer 8.3 и более поздние:

Версии вывода Packet Tracer 8.2 и более ранние:

Пример 3.Исходный и конечный хосты PC-A и тестовый сервер подключены к внутреннему интерфейсу ASA, но за другим устройством уровня 3 (это может быть маршрутизатор или многоуровневый коммутатор).

Конфигурация

Двойной NAT для ASA версии 8.3 и более поздних:

Двойной NAT для ASA версии 8.2 и старше:

Примечание. Основная цель преобразования NAT исходного IP-адреса с 10.1.1.5 на IP-адрес внутреннего интерфейса ASA (10.1.1.1) — заставить ответы, поступающие с хоста 10.1.1.6, возвращаться в ASA. , это крайне необходимо, чтобы избежать асимметричной маршрутизации и позволить ASA обрабатывать весь трафик между заинтересованными хостами. Если мы не преобразуем исходный IP-адрес, как в этом примере, то ASA заблокирует заинтересованный трафик из-за асимметричной маршрутизации.

Ping-флуд, также известный как ICMP-флуд, – это распространенная атака типа "отказ в обслуживании" (DoS), при которой злоумышленник выводит из строя компьютер жертвы, перегружая его эхо-запросами ICMP, также известными как эхо-запросы.

Атака заключается в том, что сеть жертвы заваливается пакетами запросов, зная, что сеть ответит таким же количеством пакетов ответов. Дополнительные методы отключения цели с помощью ICMP-запросов включают использование специальных инструментов или кода, таких как hping и scapy.

Это перегружает как входящие, так и исходящие каналы сети, потребляя значительную часть полосы пропускания и приводя к отказу в обслуживании.

DoS-атака с использованием hping3 с поддельным IP-адресом< /p>

Описание атаки

Обычно ping-запросы используются для проверки подключения двух компьютеров путем измерения времени приема-передачи с момента отправки эхо-запроса ICMP до получения эхо-ответа ICMP. Однако во время атаки они используются для перегрузки целевой сети пакетами данных.

Выполнение ping-флуда зависит от того, знает ли злоумышленник IP-адрес своей цели. Поэтому атаки можно разделить на три категории в зависимости от цели и способа разрешения ее IP-адреса.

Целевой локальный раскрытый ping-флуд нацелен на один компьютер в локальной сети. Злоумышленнику необходимо иметь физический доступ к компьютеру, чтобы узнать его IP-адрес. Успешная атака приведет к отключению целевого компьютера.
Маршрутизатор обнаружил, что ping-флуд нацелен на маршрутизаторы, чтобы нарушить связь между компьютерами в сети. Это зависит от того, знает ли злоумышленник внутренний IP-адрес локального маршрутизатора. В случае успешной атаки все компьютеры, подключенные к маршрутизатору, будут отключены.
Слепой пинг-флуд предполагает использование внешней программы для раскрытия IP-адреса целевого компьютера или маршрутизатора перед выполнением атаки.

Существует ряд команд проверки связи, которые можно использовать для облегчения атаки, в том числе:

Команда –n, которая используется для указания количества раз отправки запроса.
Команда –l используется для указания объема данных, отправляемых с каждым пакетом.
Команда –t, которая используется для продолжения проверки связи до истечения времени ожидания хоста.

Обратите внимание: чтобы пинг-флуд продолжался, атакующий компьютер должен иметь доступ к большей пропускной способности, чем у жертвы. Это ограничивает возможность проведения DoS-атаки, особенно в отношении большой сети.

Кроме того, распределенная атака типа "отказ в обслуживании" (DDoS), выполненная с использованием ботнета, имеет гораздо больше шансов выдержать пинг-флуд и перегрузить ресурсы цели.

DDoS-атака, основанная на протоколе управления сообщениями в Интернете (ICMP), также известная как атака Ping Flood, – это распространенная атака типа "отказ в обслуживании" (DoS), при которой злоумышленник пытается перегрузить целевое устройство эхо-запросами ICMP. (пинги). Обычно сообщения эхо-запроса и эхо-ответа ICMP используются для эхо-тестирования сетевого устройства с целью диагностики работоспособности и подключения устройства, а также соединения между отправителем и устройством. Путем переполнения цели пакетами запросов сеть вынуждена отвечать равным количеством пакетов ответов. Это приводит к тому, что цель становится недоступной для обычного трафика.

Другие типы атак ICMP-запросов могут включать специальные инструменты или код, например hping и scapy. Трафик атаки, который исходит от нескольких устройств, считается атакой распределенного отказа в обслуживании (DDoS).В этом типе DDoS-атаки как входящие, так и исходящие каналы сети перегружены, потребляя значительную часть полосы пропускания и приводя к отказу в обслуживании.

Каковы признаки DDoS-атаки ICMP Flood?

Для ICMP-флуда DDoS-атаки злоумышленник должен знать IP-адрес цели. Атаки можно разделить на три категории в зависимости от цели и способа разрешения IP-адреса:

Раскрытая целевая локальная сеть. В этом типе DDoS-атаки флуд-запрос направлен на конкретный компьютер в локальной сети. В этом случае злоумышленник должен заранее получить IP-адрес пункта назначения.
Раскрытие маршрутизатора. Здесь ping-флуд нацелен на маршрутизаторы с целью прерывания связи между компьютерами в сети. В этом типе DDoS-атаки злоумышленник должен иметь внутренний IP-адрес локального маршрутизатора.
Слепая проверка связи — это использование внешней программы для раскрытия IP-адреса целевого компьютера или маршрутизатора перед запуском DDoS-атаки.

Почему DDoS-атаки ICMP Flood опасны?

Поскольку ICMP-флуд DDoS-атаки перегружают сетевые подключения целевого устройства фиктивным трафиком, законные запросы не могут пройти. Этот сценарий создает опасность DoS или, в случае более целенаправленной атаки, DDoS. Что делает этот объемный вектор атаки еще более опасным, так это то, что в прошлом злоумышленники подделывали ложный IP-адрес, чтобы замаскировать отправляющее устройство. Но с сегодняшними изощренными атаками ботнетов (особенно ботов на основе IoT) злоумышленники даже не утруждают себя маскировкой IP-адреса бота. Вместо этого они используют разветвленную сеть незащищенных ботов, чтобы перегрузить целевой сервер.

Как смягчить и предотвратить DDoS-атаку ICMP Flood?

Предотвратить DDoS-атаку ICMP Flood можно, отключив функции ICMP на целевом маршрутизаторе, компьютере или другом устройстве. Настроив брандмауэр периметра на блокировку ping-запросов, вы сможете эффективно предотвращать атаки, запускаемые из-за пределов вашей сети. Важно отметить, что такой подход не предотвратит внутренние атаки. Кроме того, при использовании IPv6 некоторые сообщения ICMPv6 должны быть разрешены для обеспечения нормальной работы.

Несмотря на то, что обработка запроса исключена, а эхо-ответ остановит атаки ICMP, устройство также перестанет отвечать на запросы ping, traceroute и другие сетевые действия, что ограничивает возможности диагностики проблем с сервером.

Еще один подход к борьбе с ICMP-атаками заключается в ограничении скорости обработки входящих ICMP-сообщений; в качестве альтернативы ограничьте допустимый размер запросов ping.

Как такая атака, как Ping Flood, может нанести вред всей сети?

Поскольку атака Ping Flood перегружает сетевые подключения целевого устройства фиктивным трафиком, законные запросы не могут пройти. Этот сценарий создает опасность DoS или, в случае более скоординированной атаки, DDoS.

Чем может помочь NETSCOUT?

Решение NETSCOUT Arbor DDoS уже более десяти лет защищает крупнейшие в мире и наиболее требовательные сети от DDoS-атак. Мы твердо убеждены, что лучший способ защитить ваши ресурсы от современных DDoS-атак — это многоуровневое развертывание специально разработанных решений для защиты от DDoS-атак.

Только с тесно интегрированной многоуровневой защитой вы можете адекватно защитить свою организацию от всего спектра DDoS-атак.

Первоначально опубликовано Уэйном Толливером 19 февраля 2020 г.
Последнее обновление 3 марта 2022 г. • 12 минут чтения

Прежде чем мы начнем рассматривать последствия блокировки протокола управляющих сообщений Интернета (ICMP) и простого протокола управления сетью (SNMP) для безопасности и мониторинга сети, мы должны понять, что они собой представляют и как работают.

Ping — краткая история

Ping – это диагностическая утилита сетевого администрирования, используемая для проверки доступности хоста в сети Интернет-протокола (IP).Название восходит к технологии подводных лодок, где активный гидролокатор используется для передачи импульса звука и прослушивания эха для обнаружения объектов. Ping является частью набора протоколов управления сообщениями в Интернете (ICMP).

Утилита ping измеряет время приема-передачи сообщений, отправленных с исходного узла на конечный компьютер, которые возвращаются обратно на источник. Утилита работает, отправляя пакеты ICMP echo request на целевой хост и ожидая ICMP echo response. Программа сообщает об ошибках, потере пакетов и статистической сводке результатов, обычно включая минимум, максимум, среднее время приема-передачи и стандартное отклонение среднего. Ping доступен для большинства устройств и операционных систем, поддерживающих работу в сети.

Параметры командной строки утилиты ping и ее выходные данные зависят от реализации. Параметры могут включать размер полезной нагрузки, количество тестов, ограничения на количество сетевых переходов (TTL), которые могут быть пройдены, и интервал между запросами. Многие системы предоставляют вспомогательную утилиту ping6 для тестирования в сетях Интернет-протокола версии 6 (IPv6), реализующих ICMPv6.

Решения для мониторинга сети зависят от проверки связи

Ping является центральной частью большинства решений для мониторинга сети, представленных сегодня на рынке. В системах мониторинга сети утилита ping позволяет центральной станции управления (CMS) быстро определить, доступен ли отслеживаемый узел или устройство. Другие датчики, настроенные для таких устройств, как дисковый ввод-вывод, пропускная способность сети и т. д., часто зависят от датчика проверки связи. Если датчик проверки связи выйдет из строя, другие датчики, скорее всего, будут приостановлены или отключены, чтобы предотвратить шторм предупреждений.

Поскольку ping не требует больших затрат как для CMS, так и для сети, этот метод является предпочтительным для определения доступности отслеживаемых устройств. Отключение ping обычно влечет за собой изменение архитектуры решения для мониторинга сети, увеличивает административные затраты и усложняет мониторинг.

ICMP — предназначен для управления сетью и диагностики, а не для пользовательских данных

Протокол управляющих сообщений Интернета (ICMP), включая ping, не имеет портов и не является ни TCP, ни UDP. ICMP — это IP-протокол 1 (см. RFC792), TCP — IP-протокол 6 (описан в RFC793), а UDP — IP-протокол 17 (см. RFC768). И UDP, и TCP имеют порты, тогда как ICMP не имеет портов, но имеет типы и коды.

ICMP отличается от транспортных протоколов, таких как TCP и UDP, тем, что он не используется для обмена данными между устройствами и обычно не используется сетевыми приложениями конечных пользователей. Поскольку ICMP не имеет портов, он не передает пользовательские данные или информацию, кроме сетевой статистики, используемой в целях диагностики и управления.

Безопасность 101: Безопасность через неизвестность не безопасность.

Некоторые сетевые администраторы отключают ICMP и/или SNMP на сетевых устройствах для повышения безопасности. Сторонники этой позиции считают, что она делает их сеть более безопасной, скрывая определенные элементы.

Отключая SNMP, вы существенно ограничиваете возможности вашей организации по мониторингу инфраструктуры. Да, другие протоколы, такие как WMI, SOAP и RESTful API, доступны, но они часто требуют гораздо большей загрузки ЦП на сервере мониторинга и контролируемых устройствах. Кроме того, не все аспекты, которые вы хотите отслеживать, могут быть доступны за пределами SNMP, поскольку он широко поддерживается.

Как использовать ICMP и SNMP, уделяя особое внимание безопасности

В качестве альтернативы глобальному отключению ping и SNMP можно внести в белый список компоненты мониторинга сети, такие как серверы и механизмы опроса, чтобы только они получали ответы от пакетов ICMP и SNMP. Это может помочь предотвратить раскрытие определенных аспектов вашей сетевой инфраструктуры неавторизованным лицам, сохраняя при этом преимущества мониторинга сети.

Вот четыре шага, которые вы можете предпринять, чтобы повысить безопасность вашей сети, но при этом разрешить использование ICMP и SNMP:

Настройте брандмауэры сети и устройств для блокировки трафика ping (ссылочные типы ниже) с неавторизованных IP-адресов и ненадежных IP-сетей
1. ICMP, тип 0 — эхо-ответ
2. ICMP, тип 8 — эхо-запрос
3. ICMP Type 42 — расширенный эхо-запрос
4. ICMP Type 43 — расширенный эхо-ответ