Ping of Death: una pericolosa variante dell’attacco Ddos

Un attacco malevolo fa il suo ritorno dopo anni di assenza, nel cui mirino ci sono i sistemi non più aggiornati e l’hardware vecchio.

Gli attacchi alla rete sono stati fra i primi a essere effettuati nella storia dell’informatica, proprio perché la stessa nasce sia come evoluzione della branca della matematica, che come estensione della telefonia e delle reti di comunicazione.
La violazione di sicurezza di una rete e l’alterazione del funzionamento di un sistema sono sempre le prime necessità di un attore malevolo, che decide di colpire un qualsiasi sistema informatico.

Nel tempo abbiamo assistito a differenti metodologie di attacco,
che si sono gradualmente evolute ed estese sempre in ottica di aggirare tutte le protezioni adottate dal sistema designato.
Di certo la più nota delle tecniche è DDoS, che prevede il blocco del normale traffico di un server, un servizio o di una singola rete, con lo scopo di cogliere di sorpresa la vittima.

Questa tattica è sempre stata studiata e migliorata nel corso del tempo, sino a trasformarsi in una sua variante molto più subdola e pericolosa.

Essa risponde al nome di Ping of Death e in questo articolo la esploreremo assieme nel dettaglio.

Cos’è il Ping of Death?

L’attacco Ping of Death è una diretta evoluzione delle tecniche di attacco DDoS (Distributed Denial of Service) e DoS (Denial of Service), che prevede un exploit diretto delle vulnerabilità presenti nella frammentazione dei pacchetti scambiati lungo la rete mediante il protocollo ICMP (Internet Control Message Protocol).

Ciò avviene con un’alterazione delle dimensioni effettive dei singoli pacchetti, che vengono “gonfiati” a tal punto da superare il limite massimo supportato dal sistema ricevente.
Quando uno di questi raggiunge la destinazione, la sua dimensione eccessiva provoca un rallentamento del sistema, che deve trovare un modo per sopperire alle dimensioni superiori a quanto è normalmente previsto.
Con un flood eccessivo di questi pacchetti, il sistema vittima subisce un crash nel sistema operativo e un freeze completo, mentre la rete assiste ad un blocco del traffico di rete, in quanto sovraccaricato da elementi che hanno completamente saturato la sua banda.

Le vittime designate dell’attacco Ping of Death sono solitamente:

i sistemi non aggiornati
i software di monitoraggio privi delle patch correttive che cadono vittima dell’overloading di messaggi ping trasferiti con il protocollo ICMP.

Come funziona un attacco di tipo Ping of Death?

Quando un messaggio viene inviato lungo un canale di comunicazione, il protocollo ICMP riceve un messaggio di risposta che prende il nome di ping.
Questo costituisce l’effettiva velocità di risposta di una rete, in quanto funziona come un sonar: un impulso viene inviato e il suo eco riporta le informazioni sull’infrastruttura di rete e sul suo corretto funzionamento.

Il Ping of Death è un attacco che basa il suo funzionamento sulla lunghezza dei pacchetti che supportano lo standard IPv4.
Questi hanno una lunghezza pari a 65,535 byte e c’è da dire che non tutte le organizzazioni attuali sono in grado di supportarli, poiché si fa ancora affidamento a vecchi sistemi non più adatti a rispondere alle esigenze e agli standard odierni.

Se un messaggio supera la lunghezza stabilita dal protocollo, ciò costituisce una violazione delle regole IP e rende il pacchetto che costituisce lo stesso molto pericoloso per il sistema ricevente. Consci di questa peculiarità, i collettivi malevoli inviano molteplici pacchetti suddivisi in più frammenti, che si comportano come un payload nel momento in cui vengono riassemblati, poiché provocano un overload nel sistema.

La chiave del successo risiede negli stessi pacchetti, che non contengono alcuna informazione sul peso complessivo del messaggio originale.
In questo modo il sistema ricevente non ha alcun modo di accorgersi in anticipo che il pacchetto riassemblato definitivo lo manderà in eccezione, a causa di dimensioni superiori a quanto stabilito dal protocollo.

Il Ping of Death risulta essere uno degli attacchi più semplici da portare a termine, in quanto è possibile condurlo mediante strumenti e servizi di monitoraggio facilmente reperibili.

Il Ping of Death funziona ancora oggi?

Sebbene il Ping of Death sia stato presentato nel 1996 da un gruppo di ricercatori IT e abbia visto una notevole diffusione nei sistemi basati su Windows 95, l’attacco è ancora oggi una valida alternativa per chi prende di mira un sistema non sicuro e non aggiornato.

Infatti, nonostante l’adozione del protocollo IPv6, nel 2013 è stata scoperta una vulnerabilità nei sistemi operativi della famiglia Microsoft Windows. Nel dettaglio: lo stack TCP/IP implementata nel sistema non alloca correttamente spazio in memoria nel momento in cui si ricevevano dei pacchetti IPv6 gonfiati. Ciò apriva le porte ad un’eccezione nel sistema e ad un attacco di tipo RDoS (Remote Denial of Service).

Questo avveniva sfruttando una vulnerabilità intrinseca ai font di tipo OpenType utilizzati dai sistemi operativi Windows XP e Windows Server 2013.
Microsoft corresse la vulnerabilità ad agosto 2013, con una patch in seguito riportata nel bollettino MS13-065 e in seguito rinominata CVE-2013-3183.

Tuttavia, una nuova vulnerabilità intrinseca a Windows 10 venne scoperta a ottobre 2020.
Questa coinvolgeva direttamente il componente TCPIP.sys, un driver del kernel stesso capace di raggiungere il core di Windows.
L’exploit si basava sul router advertisement dell’IPv6, che portava all’esecuzione diretta arbitraria di codice non verificato da parte di chi la sfruttava, ovvero un exploit di tipo ACE (Arbitrary Code Execution).

Tali esempi sono la dimostrazione di come il Ping of Death sia una minaccia concreta anche ai giorni nostri, proprio perché molti enti e organizzazioni basano la loro infrastruttura informatica su vecchi sistemi operativi non più supportati o protocolli di comunicazione ormai obsoleti e privi delle patch correttive.

Come ci si può difendere da un attacco Ping of Death?

Una serie di soluzioni mirate per prevenire l’attacco Ping of Death sono le seguenti:

Uso di hardware e software al passo coi tempi
La miglior soluzione per prevenire attacchi di qualsiasi tipo è l’abbandono totale di sistemi di vecchio tipo, in favore di hardware nuovo e aggiornato. Questo perché si deve ragionare in termini di un investimento a lungo termine, invece di uno nell’immediato e complice di un’obsolescenza immediata.

Adozione di sistemi operativi attuali
La principale causa di attacchi risiede sempre in sistemi privi di patch di sicurezza, o di supporto da parte della casa madre. Per questo motivo si devono adottare tempestivamente sistemi operativi moderni costantemente aggiornati.

Patch di aggiornamento
La miglior protezione è sempre l’aggiornamento. Ciascun dispositivo deve essere costantemente aggiornato con le ultime patch di sicurezza rilasciate dalla casa madre, in modo da essere sempre protetti contro le vulnerabilità note.

Blocco dei messaggi Ping ICMP
Molte reti impiegano delle regole di firewall che consentono il blocco totale dei messaggi di ping. Ciò consente ai sistemi connessi di evitare il Ping of Death e il raggiungimento di sistemi vulnerabili, ma al costo di performance ridotte e al blocco incondizionato di messaggi ping validi.

Riduzione della frammentazione
Con l’applicazione corretta del Maximum Transmission Unit, si può stabilire la regola di trasmissione dei pacchetti senza frammentazione.
In questo modo gli attaccanti vengono automaticamente tagliati fuori, in quanto il Ping of Death vive sulla frammentazione dei pacchetti.

Attuazione dell’IDS
Mediante IDS (Intrusion Detection System) è possibile individuare frammentazioni anomale dei pacchetti e bloccare automaticamente quelli con dimensioni superiori al limite stabilito.

Packet Size Validation
Il controllo e validazione dei pacchetti al momento del loro riassemblaggio, previene episodi di buffer overflow ed errori legati alle dimensioni superiori ai limiti imposti. Tale pratica elimina immediatamente dalla propria rete i pacchetti che non sono conformi alle regole.

Conclusione

Il Ping of Death è la perfetta rappresentazione dell’ingenuità intrinseca alla cultura informatica odierna.
Facendo sin troppo riferimento a sistemi vecchi, definiti dai più “ampiamente collaudati”, si finisce per esporre sé stessi e la propria organizzazione a chi cerca un guadagno facile.
Come sempre il consiglio da seguire è quello di stare al passo coi tempi, di aggiornarsi e di rivedere costantemente le proprie politiche in termini di sicurezza informatica. Questo perché prevenire è sempre meglio che curare.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, laureato in Informatica e Comunicazione Digitale e grafico ACP. Ha mosso i primi passi nel mondo dell’informatica grazie ai videogiochi, divenendo in seguito appassionato di motori grafici. Scrive per passione da quando aveva sei anni e non immaginava di certo che un giorno sarebbe diventata una sua professione.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.