什么是Ping泛洪攻击或ICMP泛洪攻击？

Ping泛洪攻击是如何工作的？

Ping泛洪攻击，也称为ICMP泛洪攻击，是一种常见的DoS技术，攻击者用ICMP回显请求（或ping）泛洪受害者的计算机，以使其瘫痪。

该攻击包括向受害者的网络发送大量请求数据包，预期网络将以相同数量的回复数据包进行响应。另一种选择是使用专门的工具或脚本（如hping和scapy）通过ICMP请求使目标瘫痪。这给网络的入站和出站通道带来了负担，消耗了大量的带宽，导致拒绝服务。

Ping请求通常用于通过测量发送ICMP回显请求和接收ICMP回显回复之间的往返时间来评估两台计算机的连接性。然而，在攻击期间，它们被用来用数据包泛洪目标网络。

执行ping泛洪攻击的能力取决于攻击者是否知道目标的IP地址。因此，根据目标及其IP地址的解析方式，攻击可以分为三类。

目标本地公开的ping泛洪攻击针对本地网络上的单台计算机。要发现计算机的IP地址，攻击者必须对其有物理访问权限。如果攻击成功，目标计算机将被瘫痪。

根据路由器，ping泛洪是一种针对路由器的攻击类型，用于中断网络上计算机之间的连接。它依赖于攻击者知道本地路由器的内部IP地址。如果攻击成功，连接到路由器的所有计算机都将被关闭。

在发起攻击之前，盲目ping泛洪需要使用外部软件来发现目标计算机或路由器的IP地址。

是什么使ICMP泛洪DDoS攻击具有风险？

由于ICMP泛洪DDoS攻击会用伪造的流量泛洪目标设备的网络连接，因此合法的请求无法通过。在更协调的攻击情况下，这种情况会增加DoS或DDoS的风险。过去攻击者会伪造虚假的IP地址来隐藏发送设备，这使得这种海量攻击载体风险更高。

当今复杂的僵尸网络攻击（特别是基于物联网的僵尸网络）并不费心隐藏僵尸网络的IP地址。相反，它们利用广泛的不可伪造僵尸网络泛洪目标服务器。

如何降低Ping泛洪的风险？

ping泛洪可以通过以下几种方法来缓解。

• ping泛洪攻击使用互联网控制报文协议（ICMP），这是一种网络设备用来通信的互联网层协议。阻止ping泛洪的最佳方法是禁用受影响设备的ICMP功能。但是，这将阻止所有基于ICMP的活动，例如ping查询、traceroute请求和其他网络相关任务。

• 通过限制防火墙上的ping请求，可以防止来自网络外部的ping泛洪。另一方面，防火墙配置不会影响网络内部的内部攻击。

• 全面的ICMP泛洪缓解机制将限制请求的数量及其接收速率。

如何保护自己免受Ping泛洪攻击？

使用以下安全步骤来保护自己免受ping泛洪攻击。您可以通过三种方式保护自己免受ping泛洪攻击：

配置需要安全性的系统使其更安全

禁用受害者设备上的ICMP功能可能是防止ping泛洪攻击最简单的方法。此策略可以在攻击发生时提供快速帮助，也可以作为预防措施来降低攻击的可能性。

此外，可以设置路由器和防火墙来识别和过滤恶意网络流量。还可以使用负载均衡和限速策略来缓解DDoS攻击。

使用基于云的解决方案来对抗DDoS攻击

来自Cloudflare等主要供应商的服务器分布在全球各地的数据中心。如果您拥有自己的网站，您可以将数据流量通过这些数据中心发送。这将为您提供更多带宽来帮助您处理DDoS攻击。集成系统（如防火墙、负载均衡器和限速器）还会过滤数据流。

使用专用硬件来保护系统

只有大型企业才能从使用专用硬件来保护其系统中受益。这些设备过滤或阻止恶意网络流量，并结合了防火墙、负载均衡器和限速器的功能。

结论

Ping泛洪，也称为ICMP泛洪攻击，是一种拒绝服务攻击，它阻止合法用户访问网络上的设备。受害设备通过网络被ICMP请求（ping）命令轰炸，使其无法及时响应。如果知道目标的IP地址，则可以在一对一连接或通过路由器执行此攻击。限制ping请求的数量及其接受速率可以有效地对抗泛洪攻击。

Pranav Bhardwaj

更新于：2022年6月2日

浏览量1K+

开启你的职业生涯

通过完成课程获得认证

开始学习