ICMP Flood 攻击作为 DDoS 攻击的一种,具有极大的危害性。1999 年 8 月,海信集团在防火墙测试中遭受 ICMP 攻击达 334050 次之多,占整个攻击总数的 90% 以上,可见其攻击频率之高。这种攻击在短时间内向目标主机发送大量 ping 包,消耗主机资源,使目标主机的网络带宽饱和、系统资源耗尽。
当目标主机长时间、连续、大量地接收 ICMP 数据包时,就会陷入瘫痪状态,无法正常提供服务。例如,在企业网络环境中,若服务器遭受 ICMP Flood 攻击,可能导致企业的关键业务系统中断,影响企业的正常运营,造成巨大的经济损失。
ICMP 协议是 TCP/IP 协议组的一个子协议,用于在 IP 主机和路由器之间传递控制消息,如网络连通情况、主机到达情况、路由可用情况等。这些控制消息虽然不用于传输用户数据,但对用户数据的传递起着重要作用。然而,ICMP 协议也容易被黑客利用,成为发起攻击的手段。
ICMP Flood 攻击具有以下特点:首先,它属于流量型攻击方式,通过大量的流量给服务器带来较大的负载,影响服务器的正常服务。其次,由于目前很多防火墙直接过滤 ICMP 报文,ICMP Flood 出现的频度相对较低。但这并不意味着可以忽视其威胁,一旦攻击发生,仍可能造成严重后果。最后,ICMP Flood 攻击利用网络上主机 IP 地址的唯一性,向目标主机发送大量数据包,并要求目标主机回应相应报文,一来一去的大量往返报文会致使目标主机资源耗尽,网络带宽饱和,系统陷入瘫痪。
二、常见防御方法
(一)路由器端防御
路由器作为网络的重要节点,对 ICMP Flood 攻击的防御起着关键作用。通过对 ICMP 数据包进行带宽限制,可以将 ICMP 占用的带宽控制在一定范围内。例如,设置一个合适的阈值,当 ICMP 数据包的流量超过这个阈值时,路由器可以采取相应的措施,如降低数据包的传输速率或者丢弃部分数据包。这样即使有 ICMP 攻击,它所占用的带宽也是非常有限的,对整个网络的影响非常少。
(二)主机端防御
在主机上设置 ICMP 数据包处理规则是一种有效的防御方法。在操作系统上设置包过滤,可以根据特定的规则对进入主机的 ICMP 数据包进行筛选。例如,可以设置只允许来自特定 IP 地址的 ICMP 数据包通过,或者拒绝所有的 ICMP 数据包。安装防火墙也是一个不错的选择,防火墙可以对网络流量进行更精细的控制,阻止恶意的 ICMP 数据包进入主机。最好的情况是设定拒绝所有的 ICMP 数据包,这样可以最大程度地减少被攻击的风险。
(三)设置安全策略
- 禁用 ICMP 协议是一种较为极端的防御方法,但在某些情况下可能是必要的。禁用 ICMP 协议后,主机将不再响应 ICMP 请求,从而避免了被 ICMP Flood 攻击。然而,禁用 ICMP 协议也可能会影响一些网络功能,如 Ping 命令的使用和网络故障诊断。
- 限制每秒收到 icmp 包的数量及速度也是一种有效的防御措施。例如,可以设置一分钟平均只能 ping20 次,最多 30 次。这样可以有效地控制 ICMP 数据包的流量,防止主机被大量的 ICMP 数据包淹没。
- 对于特殊的包编写特殊路由将其包丢掉,不进行深度处理。这样可以减少主机的处理负担,提高系统的性能。
- 部署安全产品如抗 DDoS、安装防火墙和入侵防御系统可以提供更全面的保护。这些安全产品可以检测和阻止各种网络攻击,包括 ICMP Flood 攻击。
(四)针对 ICMP 协议的具体措施
- 限制带宽和速率是一种有效的防御方法。如一分钟平均只能 ping20 次,最多 30 次。可以通过设置防火墙规则或者使用网络管理工具来实现这个限制。这样可以有效地控制 ICMP 数据包的流量,防止主机被大量的 ICMP 数据包淹没。
- 禁止任何主机 ping 我,可以直接丢弃 icmp 数据包或回复主机不可达。这样可以避免主机被恶意的 Ping 命令攻击。可以通过设置防火墙规则或者使用网络管理工具来实现这个功能。
(五)流量过滤与资源限制
- 使用防火墙或入侵防御系统过滤异常 ICMP 流量是一种常见的防御方法。这些安全设备可以检测和阻止恶意的 ICMP 数据包,保护网络的安全。例如,可以设置防火墙规则,只允许特定类型的 ICMP 数据包通过,或者拒绝来自特定 IP 地址的 ICMP 数据包。
- 限制 ICMP 流量的带宽和频率也是一种有效的防御措施。可以通过设置网络设备的参数来实现这个限制。例如,可以设置路由器的带宽限制,将 ICMP 数据包的带宽控制在一定范围内。
- 进行反向路径验证筛除伪造源 IP 地址可以有效地防止 ICMP Flood 攻击。反向路径验证是一种网络安全技术,它可以验证数据包的源 IP 地址是否合法。如果源 IP 地址是伪造的,数据包将被丢弃。这样可以有效地防止攻击者利用伪造的源 IP 地址发起 ICMP Flood 攻击。
墨者安全 防护盾
墨者安全作为专业级别安全防护专家,在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制,能够精准识别 Webshell 的各种类型和变体,无论是复杂的大马,还是隐蔽的内存马,都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能,对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象,立即发出警报,并迅速采取隔离和清除措施,将风险扼杀在萌芽状态。
在防护策略上,墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击,还能深入系统内部,对服务器的文件系统、进程等进行深度检查和保护,确保 Webshell 无法植入和运行。
同时,墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时,专业的安全团队能够迅速介入,进行深入的分析和处理,最大程度减少攻击带来的损失,并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训,为用户提供关于 Webshell 防范的专业知识和最佳实践,帮助用户提升自身的安全意识和防范能力,共同构建坚实的网络安全防线。