نویسنده : Arvan

حمله IGMP flood چیست؟

linkedin

IGMP flood attack در دسته‌ی حمله‌های DOS قرار دارد و حمله‌کننده با استفاده از این‌که پیام‌های IGMP از ارسال multicast پشتیبانی می‌کنند، منابع شبکه را با ارسال این نوع پیام اشباع و از انتقال پیام‌های واقعی جلوگیری می‌کند.

 

پروتکل IGMP چیست؟

پروتکل IGMP یا Internet Group Management Protocol، برای مدیریت گروه‌های ایجاد شده در شبکه  و ارسال و دریافت پیام‌های multicast بین آن‌ها استفاده می‌شود. در حالت عادی، تمام دستگاه‌هایی که در یک شبکه حضور دارند تمام پیام‌های multicast را دریافت می‌کنند ولی با استفاده از پروتکل IGMP مي‌توان گروه‌هایی را  ایجاد کرد که فقط دسته‌ی مشخصی از دستگاه‌ها، پیام‌ها با ویژگی‌های تعیین شده‌ای را دریافت کنند. معمولن وظیفه‌ی ایجاد و مدیریت این گروه‌ها در هر شبکه‌، برعهده‌ی یکی از روتر‌ها است. 

 

عملکرد IGMP

در حالت عادی، زمانی که یک سوییچ پیام multicast دریافت می‌کند، آن را به تمام لینک‌های خروجی خود ارسال یا اصطلاحن flood می‌کند که این کار سبب می‌شود ترافیکی بسیار زیاد‌تر از ترافیک مورد نیاز به شبکه وارد و در آن جابه‌جا شود. هم‌چنین، با این کار تعداد زیادی از host ‌های شبکه، پیام‌هایی را دریافت می‌کنند که نیاز به دریافت آن‌ها نداشته‌اند و منجر به پردازش اضافه‌تری برای آن‌ها می‌شود. با توجه به این ویژگی، حمله کننده می‌تواند با ارسال پیام‌های multicast به سوییچ یک شبکه، ترافیک ناخواسته‌ی شبکه را افزایش بدهد و از این راه، ظرفیت شبکه را اشباع کند.

برای جلوگیری از این مشکل، بسیاری از سوییچ‌ها به قابلیتی به نام IGMP snooping مجهز هستند. این ویژگی سبب می‌شود تا سوییچ در دریافت پیام‌های IGMP، رفتاری مانند فایروال داشته باشد و پیام‌های multicast مربوط به IGMP را تنها به hostهایی ارسال کند که برای عضویت در گروه IGMP مربوط به این پیام درخواست داده‌اند. برای انجام این‌کار، هر سوییچ با توجه به پیام‌های مبادله شده بین روتر IGMP و host، مشخص می‌کند که هر دستگاه عضو کدام گروه‌های IGMP است و با توجه به این موضوع، پیام‌ها را در شبکه ارسال می‌کند.

 

عملکرد حمله‌ IGMP flood

با وجود ویژگی IGMP snooping هنوز هم می‌توان با استفاده از پروتکل IGMP، حمله‌ی DOS را روی یک یا چند host در شبکه پیاده‌سازی کرد. اگر یک حمله‌کننده عضو یک گروه IGMP باشد، می‌تواند با رد شدن از سوییچ برای hostهای دیگر عضو آن گروه پیام ارسال کند. در این حالت اگر پیام‌های زیادی در یک گروه ارسال شود، دریافت‌کننده‌های پیام‌ها با ترافیک زیادی مواجه می‌شوند. به این ترتیب، با توجه به congestion control در یک شبکه، بقیه‌ی اعضای شبکه پیام‌های کم‌تری را برای این دریافت‌‌کننده‌ها ارسال می‌کنند که این باز هم نوعی از حمله‌ی منع سرویس یا DOS محسوب می‌شود (congestion control یعنی زمانی که یک دستگاه  تراکم پیام زیادی را در شبکه‌ی خود دارد، تعداد پیام‌های بعدی  تا زمان کم‌تر شدن تراکم کاهش پیدا می‌کند).

با وجود کاربرد‌های IGMP، با توجه به آسیب‌پذیری‌هایی که توضیح داده شد، امکان ارسال و دریافت پیام‌های این پروتکل در بسیاری از شبکه‌ها به‌شکل پیش‌فرض غیرفعال است و تنها اگر سرویسی به این نوع پیام نیاز داشته باشد، فعال می‌شود.

مطالب مرتبط