攻防战略 ICMP常见攻击及防范措施

　　ICMP攻击及欺骗技术

　　所谓:“知己知彼，百战不怠”，要学会防范就必须知道攻击是怎样的。使用ICMP攻击的原理实际上就是通过Ping大量的数据包使得计算机的CPU使用率居高不下而崩溃，一般情况下黑客通常在一个时段内连续向计算机发出大量请求而导致CPU占用率太高而死机。基于ICMP的攻击可以分为两大类，一是ICMP攻击导致拒绝服务(DoS);另外一个是基于重定向(redirect)的路由欺骗技术。

　　服务拒绝攻击是最容易实施的攻击行为，目前，基于ICMP的攻击绝大部分都可以归类为拒绝服务攻击，其又可以分成3个小类:

　　针对带宽的DoS攻击

　　针对带宽的DoS攻击，主要是利用无用的数据来耗尽网络带宽。Pingflood、pong、echok、flushot、fraggle 和 bloop是常用的ICMP攻击工具。通过高速发送大量的ICMP Echo Reply数据包，目标网络的带宽瞬间就会被耗尽，阻止合法的数据通过网络。ICMP Echo Reply数据包具有较高的优先级，在一般情况下，网络总是允许内部主机使用PING命令。

　　这种攻击仅限于攻击网络带宽，单个攻击者就能发起这种攻击。更厉害的攻击形式，如smurf和papa-smurf，可以使整个子网内的主机对目标主机进行攻击，从而扩大ICMP流量。使用适当的路由过滤规则可以部分防止此类攻击，如果完全防止这种攻击，就需要使用基于状态检测的防火墙。

　　针对连接的DoS攻击

　　针对连接的DoS攻击，可以终止现有的网络连接。针对网络连接的DoS攻击会影响所有的IP设备，因为它使用了合法的ICMP消息。Nuke通过发送一个伪造的ICMP Destination Unreachable或Redirect消息来终止合法的网络连接。更具恶意的攻击，如puke和smack，会给某一个范围内的端口发送大量的数据包，毁掉大量的网络连接，同时还会消耗受害主机CPU的时钟周期。

　　还有一些攻击使用ICMP Source Quench消息，导致网络流量变慢，甚至停止。Redirect和Router Announcement消息被利用来强制受害主机使用一个并不存在的路由器，或者把数据包路由到攻击者的机器，进行攻击。针对连接的DoS攻击不能通过打补丁的方式加以解决，通过过滤适当的ICMP消息类型，一般防火墙可以阻止此类攻击。