Ping of Death

Beim Ping of Death (zu Deutsch „Todes-Ping“) handelt es sich um einen his­to­ri­schen Netz­werk­an­griff. Dieser führte auf ver­wund­ba­ren Systemen zum un­mit­tel­ba­ren Absturz. Glück­li­cher­wei­se funk­tio­niert der Angriff schon seit ca. 1998 auf den meisten Geräten nicht mehr.

Die Ping-of-Death-Attacke nutzt das Internet Control Message Protocol (ICMP). Prin­zi­pi­ell können aber auch andere IP-basierte Pro­to­kol­le verwendet werden. Da moderne Systeme gegenüber dem Ping of Death ab­ge­si­chert sind, nutzen bösartige Hacker heut­zu­ta­ge eher die na­mens­ver­wand­te Ping-Flood für Angriffe.

Der Ping of Death gehört zu den Denial-of-Service (DoS)-Attacken. Um den Angriff aus­zu­lö­sen, ver­schickt ein Angreifer ein bös­ar­ti­ges Da­ten­pa­ket an das Ziel. Bei der Ver­ar­bei­tung des Da­ten­pa­kets durch das Ziel­sys­tem wird ein Fehler ausgelöst, der das System zum Absturz bringt.

Kon­zep­tu­ell ist der Ping of Death mit einer Pa­ket­bom­be ver­gleich­bar: Öffnet das Opfer das Paket, wird der Me­cha­nis­mus aktiviert und das Ziel an­ge­grif­fen bzw. zerstört. Der na­mens­ge­ben­de Ping-Befehl wird für ge­wöhn­lich ein­ge­setzt, um zu testen, ob eine Maschine am Netz verfügbar ist. Technisch basiert der Ping-Befehl auf dem Internet Control Message Protocol (ICMP). Das Protokoll wird verwendet, um Status-In­for­ma­tio­nen innerhalb des Internet zu kom­mu­ni­zie­ren.

Unter dem Ober­be­griff der Denial-of-Service-Angriffe gibt es ver­schie­de­ne Arten von An­griffs­mus­tern: Der Ping of Death gehört, ebenso wie die SYN-Flood, zu den Protokoll-Attacken. Daneben exis­tie­ren die Angriffe auf die An­wen­dungs­schicht, zu denen ins­be­son­de­re die HTTP-Flood zählt, und die vo­lu­me­tri­schen Angriffe, die das Ziel mit einem Strom von Daten über­flu­ten. Zu letzteren zählen die na­ment­lich verwandte Ping-Flood sowie die UDP-Flood, die mit dem DDoS-„To­des­stern“, der „Low Orbit Ion Cannon“, berühmt wurde.

Ein ICMP-„Echo“-Paket hat für ge­wöhn­lich eine Größe von 56 Bytes. Dem­ge­gen­über ist ein Ping-of-Death-Paket mit min­des­tens 65.535 Bytes mehr als tau­send­mal so groß. Die Be­gren­zung auf eine Ge­samt­grö­ße von 65.535 Bytes pro Paket entstammt dem zu­grun­de­lie­gen­den Internet Protocol (IP).

Um ein Ping-of-Death-Paket zu erzeugen, nutzt ein Angreifer den Ping-Befehl auf der Kom­man­do­zei­le. Aus­schlag­ge­bend ist ein Options-Parameter, dessen Wert die Größe des ICMP-Data Felds festlegt. Auf Windows-Systemen heißt die Option '-l' (für „load“, Ladung). Auf sonstigen Systemen kommt statt­des­sen die Option '-s' (für „size“, Größe) zum Einsatz.

Ping of Death unter Windows:

Ping of Death unter Linux/UNIX/macOS:

Beim Ping of Death handelt es sich um einen his­to­ri­schen Angriff. Seit der Ent­de­ckung des Angriffs im Jahr 1997 wurden An­pas­sun­gen an Ser­ver­soft­ware und Be­triebs­sys­te­men vor­ge­nom­men. Zu­sätz­li­che Checks stellen sicher, dass die maximale Pa­ket­grö­ße beim Zu­sam­men­fü­gen der IP-Fragmente nicht über­schrit­ten wird. Al­ter­na­tiv kann die Nutzung eines größeren Puf­fer­spei­chers vor dem ge­fürch­te­ten Puffer-Überlauf schützen. Die meisten Systeme sind damit heut­zu­ta­ge durch den Ping of Death nicht mehr ver­wund­bar.

Ferner werden bösartige Pakete schon auf dem Weg durch das Netzwerk gefiltert. Dies kann auf Ebene von Routern und Firewalls geschehen oder durch Nutzung eines Content Delivery Networks (CDN). Für jedes IP-Fragment wird der IP-Header un­ter­sucht. Dabei muss für jedes Fragment die Formel „Fragment Offset + Total length ≤ 65.535 Bytes“ gelten. Verstößt ein IP-Fragment dagegen, würde beim Zu­sam­men­set­zen die zulässige Ge­samt­grö­ße über­schrit­ten. Statt­des­sen wird das Paket verworfen.