Bei der Ping-Flood handelt es sich um eine Form der Denial-of-Service-Attacke. Der Angriff bewirkt also eine „Service-Ver­wei­ge­rung“. Kon­zep­tu­ell können Sie sich den Angriff vor­stel­len wie einen Te­le­fon­streich: Ein bös­ar­ti­ger Angreifer ruft immer wieder an und legt sofort wieder auf. Die Leitung wird blockiert und steht nicht länger zur Verfügung. Legitime Anrufe können nicht mehr be­ant­wor­tet werden.

Bei den bekannten Flood-Angriffen wie Ping-Flood, HTTP-Flood, SYN-Flood und UDP-Flood wird ein Ziel­sys­tem mit un­sin­ni­gen Anfragen über­flu­tet, bis es unter der Last zu­sam­men­bricht. Nicht zu ver­wech­seln ist die Ping-Flood mit dem so­ge­nann­ten Ping of Death , der das Ziel­sys­tem ohne Über­las­tung direkt zum Absturz bringt.

Was ist eine Ping-Flood?

Die Ping-Flood ist ein Cy­ber­an­griff, der gegen ver­schie­de­ne, an das Internet an­ge­schlos­se­ne Systeme gerichtet werden kann. Bei den an­ge­grif­fe­nen Systemen kann es sich sowohl um Server handeln als auch um Router oder Heim­rech­ner von Pri­vat­per­so­nen.

Technisch basiert die Ping-Flood auf dem Internet Control Message Protocol (ICMP). Das Protokoll und der da­zu­ge­hö­ri­ge Ping-Befehl werden ei­gent­lich ein­ge­setzt, um Netz­werk­tests durch­zu­füh­ren. Eine Ping-Flood ver­ur­sacht die Über­flu­tung eines Ziel­rech­ners mit ICMP-„Echo Request“-Paketen. Verfügt der Angreifer über mehr Band­brei­te als das Opfer, wird dieses vom Netz gespült.

Funk­ti­ons­wei­se der Ping-Flood erklärt

Die zu­grun­de­lie­gen­de Funk­ti­ons­wei­se der Ping-Flood ist simpel:

  1. Der Angreifer sendet „Echo Request“-Pakete im Flood-Modus an die Maschine des Opfers.
  2. Die Maschine des Opfers antwortet mit „Echo Reply“-Paketen.

Jedes ein­ge­hen­de „Echo Request“-Paket be­an­sprucht auf der Seite des Opfers Band­brei­te. Da für jedes ein­ge­hen­de Paket ein „Echo Reply“-Paket zu­rück­ge­schickt wird, ergibt sich ein glei­cher­ma­ßen hohes Da­ten­vo­lu­men des aus­ge­hen­den Netz­werk­ver­kehrs. Verfügt der Angreifer über genug Band­brei­te, führt das zur Aus­nut­zung aller zur Verfügung stehenden Netz­werk­ka­pa­zi­tä­ten auf der Seite des Opfers. Der legitime Netz­werk­ver­kehr kommt ins Stocken oder erliegt völlig.

Je nachdem, ob der Angriff von einem einzelnen Rechner aus erfolgt oder von einem Verbund von Rechnern, handelt es sich bei der Ping-Flood um eine DoS- oder DDoS-Attacke.

Bild: Ping-Flood Funktionsweise: DoS- und DDoS-Varianten
Der Angreifer über­las­tet das Opfer mit einer Flut von Da­ten­pa­ke­ten.

Ping-Flood-Attacke als Denial of Service (DoS)

Bei dieser sim­pels­ten Variante des Angriffs versendet der Angreifer (A) von einer einzelnen Maschine aus die „Echo Request“-Pakete an das Opfer (O). Um die eigene Identität nicht preis­zu­ge­ben, spooft der Angreifer dabei seine IP-Adresse. Ein zufällig unter dieser IP-Adresse er­reich­ba­rer Rechner (U) wird mit den re­sul­tie­ren­den „Echo Reply“-Paketen bom­bar­diert. Dieser Rückstreu-Effekt wird auch als „Backscat­ter“ be­zeich­net. In manchen Varianten der Ping-Flood, etwa der so­ge­nann­ten Smurf-Attacke, wird Backscat­ter als ei­gent­li­che Waffe ein­ge­setzt.

Um eine Ping-Flood gegen ein Opfer zu richten, bedient sich ein Angreifer des Ping-Befehls oder einer modernen Al­ter­na­ti­ve wie dem hping-Tool. Der Angriff beginnt auf der Kom­man­do­zei­le. Mittels eines speziell für den Angriff kon­stru­ier­ten Befehls wird die Ping-Flood ausgelöst. Aus Si­cher­heits­grün­den können wir hier nur ein un­ge­fäh­res Muster des hping-Code abbilden:

hping --icmp --flood --rand-source -p <port> <ip-addresse></ip-addresse></port>

Schauen wir uns die Optionen an:

  • Die Option --icmp weist das Tool an, ICMP als Protokoll zu verwenden.
  • Wichtig ist die --flood-Option. Laut Do­ku­men­ta­ti­on des hping-Befehls führt diese zum einen dazu, dass Pakete so schnell wie möglich versendet werden. Zum anderen bewirkt die Option, dass die ein­ge­hen­den „Echo Reply“-Pakete des Opfers un­be­ach­tet verworfen werden. Anstatt also wie bei normaler Nutzung des Ping-Befehls einen Ping ab­zu­set­zen und dann zu warten, bis die Antwort kommt, wird so schnell wie möglich „gefeuert“.
  • Die Option --rand-source spooft die IP-Adresse des Absenders. Anstelle der echten Ab­sen­der­adres­se wird eine zufällige IP-Adresse ein­ge­tra­gen.

Ping-Flood-Attacke als Dis­tri­bu­ted Denial of Service (DDoS)

Um eine „dis­tri­bu­ted“, also verteilte Ping-Flood aus­zu­lö­sen, bedient sich der Angreifer (A) eines Botnets (B). Die unter Kontrolle des An­grei­fers stehenden Bots starten auf Befehl hin jeder für sich eine Ping-Flood gegen das Opfer (O). Da nun mehrere Rechner gegen ein und dasselbe Ziel schießen, steht eine viel höhere Band­brei­te auf der Seite des An­grei­fers zur Verfügung. Nur ein gut ge­schütz­tes Ziel wird einem der­ar­ti­gen Angriff stand­hal­ten.

Da der Angreifer in diesem Szenario die „Echo Request“-Pakete nicht vom eigenen Rechner aus versendet, gibt es keinen Grund, die eigene IP-Adresse zu ver­schlei­ern. Statt­des­sen feuern die Bots unter ihrer jeweils eigenen Adresse. Der Backscat­ter fällt auf die Zombie-Rechner des Botnets zurück.

Ab­wehr­maß­nah­men zum Schutz vor Ping-Flood-Attacken

Zum Schutz vor Ping-Flood-Attacken bieten sich prin­zi­pi­ell drei Wege an:

Kon­fi­gu­ra­ti­on des zu schüt­zen­den Systems für höhere Si­cher­heit

Die wohl ein­fachs­te Methode zum Schutz vor Ping-Flood-Attacken besteht darin, die ICMP-Funk­tio­na­li­tät auf dem Gerät des Opfers zu de­ak­ti­vie­ren. Diese Maßnahme bietet un­mit­tel­ba­re Hilfe während eines Angriffs, kann aber auch vor­beu­gend ein­ge­setzt werden, um die An­griffs­flä­che zu mi­ni­mie­ren.

Ferner können Router und Firewall so kon­fi­gu­riert werden, dass ein­ge­hen­der bös­ar­ti­ger Netz­werk­ver­kehr erkannt und gefiltert wird. Auch der Einsatz von Techniken zum Load Balancing (zu Deutsch „Last­ver­tei­lung“) und Rate Limiting („Durch­satz­be­gren­zung“) trägt zum Schutz vor DoS-Attacken bei.

Nutzung eines cloud­ba­sier­ten Service zur DDoS-Ab­schwä­chung

Große Anbieter wie Cloud­fla­re halten Server in global ver­teil­ten Da­ten­cen­tern bereit. Wenn Sie eine eigene Website betreiben, können ihren Da­ten­ver­kehr durch diese Da­ten­cen­ter leiten. Dadurch steht eine viel höhere Band­brei­te bereit, um DDoS-Attacken ab­zu­puf­fern. Ferner wird der Da­ten­ver­kehr durch in­te­grier­te Systeme wie Firewall, Load Balancer und Rate Limiter gefiltert.

Nutzung spe­zi­el­ler Hardware vor dem zu schüt­zen­den System

Nur für große Akteure von Interesse ist die Mög­lich­keit, das eigene System durch spezielle Hardware zu schützen. Diese Geräte bieten oder vereinen die Funk­tio­na­li­tät von Firewall, Load Balancer und Rate Limiter und filtern oder blo­ckie­ren bös­ar­ti­gen Netz­werk­ver­kehr.

Zum Hauptmenü