物理机攻击 Kali 虚拟机之 ICMP_Flood 全解析(图文)

ICMP Flood 攻击，也被称为 “ICMP 洪水攻击”，是 DDoS（分布式拒绝服务）攻击的一种常见形式。其主要原理是在短时间内，向目标主机发送大量的 ICMP（Internet Control Message Protocol，互联网控制报文协议）请求。
ICMP 是 TCP/IP 协议族中的一个子协议，用于在 IP 主机、路由器之间传递控制消息。例如，ping 命令就是使用 ICMP 的响应请求（Type=8）和应答（Type=0）来测试网络连接。而在 ICMP Flood 攻击中，攻击者会利用工具向目标主机发送大量类似 ping 请求的 “ICMP_ECHO_Request” 报文。这些报文短时间内大量涌向目标主机，并要求目标主机回应报文。一来一去，大量往返的报文会汇集起来形成巨大的流量，致使目标主机资源耗尽，网络带宽饱和，最终系统陷入瘫痪，无法正常提供服务。
据资料显示，DDos 攻击是一种以消耗自己资源来迫使对方无法对外提供服务的攻击方式。要成功实施 ICMP Flood 攻击，通常需要一些先决条件。首先，攻击者所掌握的资源要比被攻击者更多。其次，攻击者往往需要全方位发起攻击，一般来说需要几个、几十个主机同时对一台服务器发起攻击。例如，黑客可能会通过控制大量代理主机（肉鸡），利用脚本同时向目标主机发送大量 ICMP 请求报文，用巨量的数据把对方淹没。

二、攻击工具及安装

（一）hping3 的作用与安装

hping3 是用于生成和解析 TCP/IP 协议数据包的开源工具，在安全审计、防火墙测试等工作中是标配工具。它的优势在于能够定制数据包的各个部分，用户可以灵活对目标机进行细致地探测。
在终端中安装 hping3 的步骤如下：在 Kali Linux 上，hping3 通常是默认安装的。如果在其他系统如 Ubuntu 中，用户输入 hping3 后，可以根据相关提示使用 apt 进行在线安装。安装命令为sudo apt-get install hping3。

（二）scapy 的安装与使用

安装 scapy 工具也比较简单，在终端中输入命令sudo apt-get install scapy即可安装。
使用 scapy 进行 ICMP Flood 攻击的 Python 代码示例如下：

from scapy.all import *
target_ip = "目标IP地址"
packet = IP(dst=target_ip)/ICMP()
send(packet, loop=True)
这段代码将创建一个 ICMP 数据包并发送给目标 IP 地址，循环发送直到手动停止。需要注意的是，进行任何形式的网络攻击都是非法和不道德的行为，上述示例仅用于教育和研究目的，请确保在合法和授权的环境中使用这些工具。

三、攻击步骤详解

（一）准备工作

为了进行 ICMP_Flood 攻击实验，我们需要搭建三台虚拟机：一台 ubuntu 主机作为客户机，一台 windows server 2012 主机作为服务器，一台 kali 主机作为攻击主机。当使用 VMWare 的 NAT 模式搭建网络时，ubuntu 主机的 IP 地址可以设置为 192.168.47.128；windows server 2012 主机的 IP 地址为 192.168.47.130；kali 主机的 IP 地址是 192.168.47.129，该局域网的网关是 192.168.47.2。这样可以确保各主机处于同一网段，并且为了保证网络环境干净，减少干扰因素。

（二）目标机器设置

在 win10 等目标机器上启用 web 服务是为了便于后续检测和处置攻击效果。不同版本的 python 有不同的命令来启动 http 服务。例如，Python <=2.3 可以使用python -c "import SimpleHTTPServer as s; s.test();"8000；Python >=2.4 可以使用python -m SimpleHTTPServer 8000；Python 3.x 可以使用python -m http.server 8000。通过快速模拟出一个 web 服务，我们可以在攻击过程中更好地观察目标机器的反应和状态。

（三）实施攻击

使用 Kali 自带工具 hping3 进行攻击是本次实验的关键步骤。例如，可以使用以下命令进行模拟攻击：hping3 -q -n --id0 --icmp -d 445 --flood 目标 IP/域名。其中，-d 445表示端口，可根据实际情况进行调整。如果需要伪造源 IP，可以增加-a 1.1.1.1参数。在攻击过程中，可以通过查看目标机器的网络连接情况、资源占用情况等方式来观察攻击效果。由于 ICMP 协议没有端口连接情况，我们可以通过长 ping 百度来查看丢包情况，以间接判断攻击是否成功。现在设备性能较强，单一源攻击可能难以实现明显的效果，可以考虑通过多个源对同一目标系统攻击，以增加攻击的强度和效果。

四、攻击总结与警示

ICMP_Flood 攻击作为一种常见的网络攻击手段，虽然在技术层面上有其特定的实现方式和原理，但我们必须明确，进行任何形式的网络攻击都是非法和不道德的行为。
在现实生活中，网络攻击可能会给个人、企业乃至整个社会带来巨大的损失。企业可能会因为遭受攻击而导致业务中断，造成经济损失和声誉受损。个人用户的隐私信息可能会被泄露，面临财产安全和个人权益被侵犯的风险。
本文所介绍的攻击方法和工具仅用于教育和研究目的。我们应该始终遵守法律法规，确保在合法和授权的环境中使用相关工具。网络安全是一个全球性的问题，需要我们共同努力来维护。只有通过合法的手段和积极的安全防护措施，才能保障网络空间的安全和稳定。
同时，我们也应该提高自身的网络安全意识，加强对网络攻击的防范。对于企业来说，应建立完善的网络安全体系，包括防火墙、入侵检测系统等，及时发现和应对潜在的安全威胁。个人用户也应注意保护自己的设备和信息安全，不随意点击不明链接，定期更新密码等。
总之，我们要深刻认识到网络攻击的危害性，坚决抵制非法网络攻击行为，共同营造一个安全、可靠的网络环境。
 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。