揭秘公网 ICMP 伪装 DDOS：攻击与防御(图文)

ICMP（Internet Control Message Protocol）伪装 DDOS 攻击，即通过对公网 ICMP 协议的利用进行伪装，发动分布式拒绝服务攻击。
在这种攻击方式中，骇客首先控制大量的计算机设备，组成僵尸网络。这些被控制的设备可能包括电脑、服务器、路由器甚至手机等物联网设备。然后，骇客操纵僵尸网络向目标系统发送大量看似合法的 ICMP 请求，例如大量的 “ping” 请求。
ICMP 协议通常用于在 IP 主机、路由器之间传递控制消息，如网络通不通、主机是否可达等信息。虽然它不传输用户数据，但对用户数据的传递起着重要作用。攻击者正是利用这一点，发送海量的 ICMP 请求数据包，使目标系统应接不暇。目标系统在接收到这些请求后，会尝试处理它们，但由于数量巨大，目标系统的网络带宽和处理能力很快就会被耗尽。
比如，根据搜索到的资料，ICMP Flood 攻击也称为 Ping Flood 攻击。攻击者利用大量的 ICMP Echo 请求来淹没目标设备，使得目标的入站带宽被大量占用，合法用户无法访问网络资源。同时，这种攻击还会占用大量路由器、防火墙和服务器的 CPU 周期，以及耗尽可用的内存资源。最终导致目标服务不可用，系统瘫痪。
总的来说，公网 ICMP 伪装 DDOS 攻击是一种极具破坏性的网络攻击方式，给目标系统带来严重的威胁。

二、攻击方式与危害

（一）多样攻击方式

1. Synflood：该攻击以多个随机的源主机地址向目的主机发送 SYN 包，而在收到目的主机的 SYN ACK 后并不回应。这样目的主机就为这些源主机建立了大量的连接队列，由于没有收到 ACK 一直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。

2. Smurf：攻击者向一个子网的广播地址发一个带有特定请求（如 ICMP 回应请求）的包，并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包，使该主机受到攻击。

3. Land-based：攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过 IP 欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降低了系统性能。

4. Ping of Death：根据 TCP/IP 的规范，一个包的长度最大为 65536 字节。尽管一个包的长度不能超过 65536 字节，但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于 65536 字节的包时，就是受到了 Ping of Death 攻击，该攻击会造成主机的宕机。

5. Teardrop：IP 数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段（或者更多）数据包来实现 TearDrop 攻击。第一个包的偏移量为 0，长度为 N，第二个包的偏移量小于 N。为了合并这些数据段，TCP/IP 堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动。

6. PingSweep：使用 ICMP Echo 轮询多个主机。

7. Pingflood：该攻击在短时间内向目的主机发送大量 ping 包，造成网络堵塞或主机资源耗尽。

（二）严重危害后果

公网 ICMP 伪装发起 DDOS 攻击会带来严重的危害后果。首先，出口带宽被堵死，这意味着企业或组织的网络对外通信通道被大量的攻击流量占据，正常的业务数据无法传输，导致与外部的联系中断。例如，企业的网站无法被用户访问，在线业务无法进行，影响企业的声誉和经济效益。其次，对于游戏行业来说，游戏用户掉线导致客户流失。游戏服务器在遭受 DDOS 攻击时，网络连接不稳定，玩家频繁掉线，这会让玩家失去游戏体验，转而选择其他游戏，给游戏运营商带来巨大的经济损失。再者，服务器连接数多，连接资源被耗尽。大量的虚假连接请求占用了服务器的连接资源，使得真正的用户无法建立连接，无法正常使用服务。最后，服务器会出现卡、慢、死机、无法连接等情况。服务器在处理大量攻击流量时，CPU、内存等资源被过度占用，导致性能下降，响应时间变长，甚至死机，无法为用户提供正常的服务。总之，公网 ICMP 伪装发起 DDOS 攻击对网络的正常运行和用户的体验造成了极大的破坏。

三、攻击来源与流量特点

（一）复杂攻击来源

公网 ICMP 伪装发起 DDOS 攻击的来源十分复杂。其中，高性能服务器配合发包软件可能成为攻击的发起者。这些高性能服务器拥有强大的处理能力和网络带宽，可以发送大量的 ICMP 请求包。例如，一些不法分子利用被控制的高性能服务器，对目标系统发动大规模的攻击。
可联网的设备如打印机、摄像头、电视等也可能被黑客利用，成为攻击的一部分。随着物联网的发展，越来越多的设备接入网络，这些设备的安全性往往被忽视，很容易被黑客入侵并控制。据统计，全球有数十亿的物联网设备，一旦被黑客利用，将形成庞大的僵尸网络，对网络安全造成巨大威胁。
移动设备也是攻击来源之一。移动设备数量众多，增长速度快，其高性能利于组建僵尸网络。黑客可以通过恶意软件感染移动设备，将其纳入僵尸网络中。例如，一些恶意 APP 可能在用户不知情的情况下，将手机变成攻击的工具。
个人 PC 也是攻击的潜在来源。存在漏洞的 PC 容易被黑客入侵，或者一些黑客迷自愿成为 DDoS 攻击的一员。这些个人 PC 分散在全球各地，一旦被控制，将形成巨大的攻击力量。
此外，黑客控制的僵尸网络也是攻击的重要来源。僵尸网络又分为 IRC 型、HTTP 型、P2P 型等，不同类型的僵尸网络具有不同的攻击方式和特点。

（二）独特流量特点

公网 ICMP 伪装发起 DDOS 攻击具有独特的流量特点。首先，IP 地址随机或固定某些 IP 段随机。攻击者为了躲避检测和防御，会不断变换攻击的 IP 地址，使得防御方难以确定攻击的来源。例如，在一次攻击中，目标系统可能会收到来自不同地区、不同 IP 段的大量 ICMP 请求包，这些 IP 地址可能是随机生成的，也可能是固定的某些 IP 段，但具有一定的随机性。
其次，攻击没有完整完成 TCP 三次握手。ICMP 协议本身不需要像 TCP 协议那样进行三次握手，这使得攻击者可以更加容易地发送大量的请求包，而不需要建立完整的连接。这样一来，目标系统在处理这些请求包时，无法像处理正常的 TCP 连接那样进行有效的管理和控制。
最后，请求数量大、快。攻击者利用僵尸网络中的大量设备，同时向目标系统发送海量的 ICMP 请求包，请求数量巨大。而且，这些请求包的发送速度非常快，可以在短时间内使目标系统的网络带宽和处理能力被耗尽。例如，在某些严重的攻击中，目标系统可能在几秒钟内就会收到数百万甚至上千万个 ICMP 请求包，导致系统无法正常运行。

四、防御策略与方法

（一）多种防御手段

1. 禁用服务器 ICMP 回显响应：

• • 在公网上的服务器众多，攻击者通常会通过 IP 段扫描存活的机器。一旦扫描到某个 IP 时有回显，就会被攻击者记录下来，成为攻击目标。因此，关闭服务器的 ICMP 回显功能至关重要。

• • 对于 Windows Server，可通过 “Windows Defender 防火墙” 管理界面，禁用 “文件和打印机共享 (回显请求 - ICMPv4-In)” 和 “文件和打印机共享 (回显请求 - ICMPv6-In)” 规则。具体操作是：开始程序 > Windows 系统 > 右上角查看方式 “大图标”>Windows 防火墙 > 左侧 “高级设置”，找到上述两项双击，然后选中 “已启用” 和 “阻止连接”。

• • 对于 Linux 服务器，可通过编辑 /etc/sysconfig/iptables添加规则，如 -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP 和 -A INPUT -p icmp -j DROP。

2. 利用 CDN 隐藏源站真实 IP：

• • 内容分发网络（CDN）不仅能加速内容传输，还能隐藏真实 IP。当服务器被不同地方的客户端大量访问时，可能会出现压力，CDN 则可以通过全球分布的节点缓存和转发用户请求，使得外部看到的是 CDN 节点的 IP 而非原始服务器的 IP。

• • 其原理是让 CDN 转发合法的 http 或者 https 流量来达到隐藏的目的。这样，受害主机上只会有跟 CDN 的 IP 通信的流量，不会有跟真实服务器通信的流量，可以保护服务器的 IP，但域名还是会暴露。

• • 不过，使用 CDN 技术隐藏真实 IP 也有不足，如服务器上发布的内容无法及时更新，且 CDN 存在地区限制。例如只做了国内的 CDN，而没有做海外的 CDN，攻击者使用美国服务器的 IP，用 ICMP 工具 ping 的域名或其它地址时，服务器真实 IP 就可能出现在攻击者面前。

3. 使用高防 IP：

• • 高防 IP 是指高防机房所提供的 ip 段，主要针对互联网服务器遭受大流量 DDoS 攻击时进行保护服务。用户可以通过配置 DDoS 高防 IP，将攻击流量引流到高防 IP，防护系统进行流量过滤清洗，再把正常的流量返回给服务器，确保源站的正常可用。

• • 高防 IP 服务的原理是通过利用两台高硬防的单线服务器作为端口映射到双线服务器的两个 IP，将虚设的 IP 映射在真实 IP 的主机上，从而避免被直接威胁，让攻击者无法正确找到双线服务器的真实 IP，并且单线的硬防也更高。进行虚设 IP 映射的处理，是没有远程登陆权限的。

（二）限制流量策略

1. 限制 SYN/ICMP 流量：

• • 用户可以在路由器上配置 SYN/ICMP 的最大流量来限制 SYN/ICMP 封包所能占有的最高频宽。当出现大量的超过所限定的 SYN/ICMP 流量时，说明不是正常的网络访问，而是有黑客入侵。

• • 早期通过限制 SYN/ICMP 流量是最好的防范 DOS 的方法，虽然该方法对于 DDoS 效果不太明显了，但仍然能够起到一定的作用。

2. 检查访问者来历：

• • 使用 Unicast Reverse Path Forwarding 等通过反向路由器查询的方法检查访问者的 IP 地址是否是真，如果是假的，它将予以屏蔽。

• • 许多黑客攻击常采用假 IP 地址方式迷惑用户，很难查出它来自何处。因此，利用 Unicast Reverse Path Forwarding 可减少假 IP 地址的出现，有助于提高网络安全性。

五、未来趋势与应对

（一）未来攻击趋势
随着技术的不断发展，公网 ICMP 伪装 DDOS 攻击呈现出以下未来趋势：

1. 攻击手段更加复杂：攻击者将不断创新攻击方式，结合多种攻击手段，如将 ICMP 攻击与其他类型的 DDoS 攻击（如 UDP flood、TCP flood 等）相结合，增加防御的难度。

2. 攻击规模持续扩大：随着物联网设备的不断增加，以及网络带宽的不断提升，攻击者可利用的资源也越来越多，攻击规模将持续扩大。例如，根据相关数据，2023 年最大的 DDoS 攻击达到了 700Gbps，比上年增长了 93.42%。未来，攻击规模可能会进一步增长，达到 Tbps 级别。

3. 攻击目标更加多样化：不仅企业、金融机构等传统目标会继续受到攻击，政府部门、关键基础设施等也将成为攻击的重点目标。例如，近年来，针对无线电信提供商的攻击也在显著增加，2022 年下半年全球此类攻击增长了 79%，2023 年上半年针对亚太地区提供商的攻击增加了惊人的 294%。

4. 攻击智能化程度提高：攻击者可能会利用人工智能、机器学习等技术，自动生成攻击流量，提高攻击的效率和隐蔽性。

（二）持续加强防御的重要性

面对未来公网 ICMP 伪装 DDOS 攻击的趋势，持续加强防御至关重要：

1. 保障网络安全：只有不断加强防御，才能有效抵御攻击，保障网络的安全稳定运行。如果防御不力，可能会导致网络瘫痪，影响企业的正常运营和用户的生活。

2. 保护用户隐私：DDoS 攻击可能会导致用户数据泄露，给用户带来巨大的损失。加强防御可以有效保护用户的隐私和数据安全。

3. 维护国家网络安全：关键基础设施如电力、交通、水利等的网络安全关系到国家的安全和稳定。加强对 DDoS 攻击的防御，是维护国家网络安全的重要举措。

（三）应对思路

为了应对公网 ICMP 伪装 DDOS 攻击的未来趋势，我们可以采取以下应对思路：

1. 技术创新：不断研发新的防御技术，如人工智能驱动的防御系统、量子加密技术等，提高防御的效率和安全性。例如，利用人工智能技术可以自动检测和识别攻击流量，及时采取防御措施。

2. 加强国际合作：DDoS 攻击是全球性的问题，需要各国加强合作，共同打击网络犯罪。可以通过信息共享、联合执法等方式，提高对攻击者的打击力度。

3. 提高用户安全意识：用户应该加强自身的网络安全意识，如不随意下载未知来源的软件、不点击可疑链接等，减少被攻击的风险。同时，企业也应该加强对员工的网络安全培训，提高员工的安全意识。

4. 完善法律法规：政府应该完善相关的法律法规，加大对网络犯罪的打击力度。同时，加强对网络安全的监管，确保企业和个人遵守网络安全法规。

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。