Ein Ping-Flooding ist eine Art von Denial-of-Service-Angriff, bei dem der Angreifer versucht, ein Zielgerät mit ICMP-Echoanforderungspaketen zu überfluten, so dass es für normalen Traffic nicht mehr erreichbar ist. ICMP steht für InternetDas Internet ist ein weltweites Netzwerk aus Computern und S... Control Message Protocol und ist ein Protokoll, das von Netzwerkgeräten zur Kommunikation verwendet wird. Mit dem Ping-Befehl kann man die Erreichbarkeit und die Verbindungsgeschwindigkeit eines Netzwerkgeräts testen.
Wie funktioniert ein Ping-Flooding?
Bei einem Ping-Flooding sendet der Angreifer viele ICMP-Echoanforderungspakete an das Zielgerät, ohne auf die Antworten zu warten. Das Zielgerät muss für jedes empfangene Paket ein ICMP-Echoantwortpaket zurücksenden. Das verbraucht Bandbreite und Rechenleistung auf beiden Seiten. Wenn der Angreifer über mehr Bandbreite verfügt als das Zielgerät, kann er es mit sinnlosen Paketen überlasten und den legitimen Netzwerkverkehr blockieren oder verlangsamen.
Um seine Identität zu verschleiern, kann der Angreifer seine IP-Adresse fälschen (spoofen) und so einen anderen Rechner als Absender vortäuschen. Dieser Rechner wird dann mit den Echoantwortpaketen bombardiert, was als Backscatter bezeichnet wird. In manchen Fällen wird Backscatter als eigentliche Waffe eingesetzt, zum Beispiel bei der Smurf-AttackeEin Smurf-Angriff ist eine Art von Distributed-Denial-of-Ser..., bei der der Angreifer eine Broadcast-Adresse als gefälschte Absenderadresse verwendet und so viele Rechner im Netzwerk zum Antworten zwingt.
Wenn der Angriff von mehreren Geräten aus erfolgt, die zu einem Botnetz gehören, spricht man von einem Distributed-Denial-of-Service-Angriff (DDoS). Ein Botnetz ist ein Netzwerk von infizierten Rechnern, die vom Angreifer ferngesteuert werden können. Ein DDoS-Angriff kann viel mehr Traffic erzeugen als ein einfacher DoS-Angriff und ist schwerer abzuwehren.
Wie kann man sich vor einem Ping-Flooding schützen?
Es gibt verschiedene Möglichkeiten, sich vor einem Ping-Flooding zu schützen oder die Auswirkungen zu minimieren. Eine Möglichkeit ist, die ICMP-Funktionalität auf dem angegriffenen Gerät zu deaktivieren oder zu beschränken, so dass keine Echoantwortpakete gesendet werden. Das kann aber auch die Netzwerkdiagnose erschweren oder andere Probleme verursachen.
Eine andere Möglichkeit ist, eine Firewall oder einen Router zu verwenden, der den eingehenden ICMP-Traffic filtern oder begrenzen kann. So kann man verhindern, dass zu viele Pakete das Zielgerät erreichen oder dass gefälschte Pakete akzeptiert werden. Man sollte aber darauf achten, dass nicht alle ICMP-Pakete blockiert werden, da einige davon für das Funktionieren des Internets wichtig sind.
Eine weitere Möglichkeit ist, einen Cloud-basierten DDoS-Schutzdienst wie Cloudflare oder Imperva zu nutzen, der den Traffic analysiert und nur legitime Anfragen an das Zielgerät weiterleitet. Diese Dienste können auch andere Arten von DDoS-Angriffen abwehren, die nicht auf ICMP basieren.