标签: ICMP

什么是死亡Ping(Ping of Death)?

什么是死亡Ping攻击?

死亡攻击是一种拒绝服务(DoS)攻击,攻击者的目标是通过发送大于最大允许大小的数据包来破坏目标机器,导致目标机器冻结或崩溃。原来的平安死亡袭击今天不太常见。称为ICMP洪水袭击的相关攻击更为普遍。

死亡Ping如何工作?

互联网控制消息协议(ICMP)回应回复消息或“ping”是用于测试网络连接的网络实用程序,它的工作原理与声纳相似 – “脉冲”被发送出来,并且该脉冲的“回波”告诉操作员有关环境的信息。如果连接正常,源计算机从目标机器接收到一个回复​​。

虽然一些ping数据包很小,但是IP4 ping数据包要大得多,可以和最大允许数据包大小为65,535字节一样大。一些TCP / IP系统从未被设计为处理大于最大数据包的数据包,使得它们容易受到超过该大小的数据包的影响。

当恶意大数据包从攻击者发送到目标时,数据包将分段成分段,每个数据段都低于最大大小限制。当目标机器尝试将这些部分重新放在一起时,总数超过了大小限制,并且可能会发生缓冲区溢出,导致目标机器冻结,崩溃或重启。

虽然ICMP回显可用于此攻击,但是发送IP数据报的任何内容都可用于此漏洞。这包括TCP,UDP和IPX传输。

死亡Ping DDoS攻击如何缓解?

阻止攻击的一个解决方案是对重新组装过程添加检查,以确保在分组重组后不会超过最大数据包大小约束。另一种解决方案是创建一个具有足够空间的内存缓冲区来处理超过最大准则的数据包。

原来的“死亡Ping”攻击大多走过恐龙之路; 1998年以后创建的设备通常受到此类攻击的保护。一些传统设备可能仍然易受攻击。近期发现了针对Microsoft Windows的IPv6数据包的新的Ping死亡攻击,并于2013年中期进行了修补。

什么是Ping(ICMP)洪水攻击?

ping flood是一种 拒绝服务攻击,攻击者试图用ICMP回显请求报文来淹没目标设备,导致目标对正常流量无法访问。当攻击流量来自多台设备时,攻击成为DDoS攻击或分布式拒绝服务攻击。

平洪攻击如何工作?

在Ping Flood攻击中使用的 Internet控制消息协议(ICMP)是由网络设备使用的Internet层协议进行通信。网络诊断工具 traceroute和 ping均使用ICMP进行操作。通常,ICMP回显请求和回应回复消息用于ping网络设备,以便诊断设备的健康和连接以及发送方和设备之间的连接。

ICMP请求需要一些服务器资源来处理每个请求并发送响应。请求还要求传入消息(回应请求)和传出响应(回应 – 回复)两者都有带宽。Ping Flood攻击旨在压倒有针对性的设备响应大量请求的能力和/或使虚假的流量网络连接过载。通过使僵尸网络中的许多设备 使用ICMP请求定位同一个Internet属性或基础设施组件,攻击流量将大大增加,可能导致正常网络活动中断。从历史上看,攻击者经常会 伪造一个假的 IP地址以屏蔽发送设备。随着现代僵尸网络攻击,恶意行为者很少看到需要掩盖机器人的IP,而是依靠一个庞大的非欺骗机器人网络来饱和目标的容量。

Ping(ICMP)Flood的DDoS形式可以分为2个重复步骤:

1.攻击者使用多个设备向目标服务器发送许多ICMP回显请求报文。
2.然后,目标服务器作为响应向每个请求设备的IP地址发送ICMP回应应答分组。

Ping Flood的破坏性影响与对目标服务器的请求数成正比。与基于反射的DDoS攻击(如 NTP放大和 DNS放大)不同,Ping Flood攻击流量是对称的; 目标设备接收的带宽量只是从每个机器人发送的总流量的总和。

Ping洪水袭击如何缓解?

通过禁用目标路由器,计算机或其他设备的ICMP功能,最容易实现禁止Ping洪水。网络管理员可以访问设备的管理界面,并禁用其使用ICMP发送和接收任何请求的能力,有效地消除了对请求的处理和回应回复。这样做的结果是所有涉及ICMP的网络活动都被禁用,使得设备对ping请求,跟踪路由请求和其他网络活动无响应。