Ataques IP Null – O que é, e como funciona o ataque?

/em

Antes de entender o que é IP Null, precisamos entender primeiramente o que é uma Null Route (rota nula). 

O que é uma Null Route?

Uma null route, rota nula ou rota black hole é uma rota para um endereço IP que não leva a lugar nenhum. O motivo para criar uma rota nula para o seu endereço IP é evitar que o seu servidor receba ou envie dados pela Internet.

A rota nula é ativada para o endereço IP do servidor se forem detectados ataques DDoS. Usando isso, o servidor pode ser temporariamente desconectado da Internet para evitar danos a toda a infraestrutura e uso excessivo de largura de banda para um determinado servidor.

A conectividade normal com a Internet é restaurada automaticamente no servidor assim que o ataque DDoS é interrompido.

Agora que sabemos o que é uma Null Route, vamos entender os ataques de IP Null: 

O que é um ataque de IP Null: 

De acordo com os padrões RFC, os cabeçalhos dos pacotes IP devem conter informações do protocolo da camada de transporte no campo Protocolo. Quando o IP Null Attack é usado, os pacotes com valor nulo neste campo são enviados. É provável que roteadores e firewalls passem esse pacote como não classificado.

No entanto, como o valor nulo agora está reservado no campo “protocolo” para especificar a opção IPv6 Hop-by-Hop (HOPOPT), nem todo servidor pode aceitar e processar corretamente tal pacote. E se tais pacotes vierem em grande número, sua análise consumirá uma parte significativa dos recursos do sistema, até seu consumo total e falha do servidor.

Já no caso de TCP Null Attack, o servidor vítima recebe pacotes com parâmetros nulos no campo ‘flag’ do cabeçalho TCP, ou seja, nenhum dos 6 sinalizadores TCP (URG, ACK, PSH, RST, SYN, FIN) está definido. Via de regra, pacotes desse tipo são usados para verificar as portas do servidor antes de um ataque em grande escala.

Em um ataque IP NULL, os atacantes enviam pacotes pelo qual o campo de cabeçalho IPv4 usado para especificar qual protocolo de transporte está sendo usado em sua carga útil (por exemplo, TCP e / ou UDP) e define esse campo como um valor de zero. Os firewalls configurados apenas para TCP, UDP e ICMP podem permitir este tipo de pacote. Se esses pacotes chegarem como uma inundação, os recursos da CPU de um servidor vítima podem ser desperdiçados ao manipular esses pacotes.

E como posso me proteger? 

Como sabemos, o ataque de IP Null é classificado como um DoS que usa recursos do protocolo IP, fazendo com que o servidor desperdice seus recursos tentando processar os pacotes de maneira correta.

Uma das maneiras mais eficazes de se proteger contra ataques de IP Null é através da utilização de recursos Anti DDoS, que por sua vez podem detectar e bloquear ataques na borda, antes mesmo que as requisições alcancem sua infraestrutura de hospedagem.