ICMP flood属于流量型的攻击方式,是
DDoS攻击的一种。这种攻击在短时间内向目的主机发送大量ping包,一直消耗主机资源,直至主机资源耗尽并瘫痪或无法正常提供服务。需要注意的是,向目标主机长时间、连续、大量地发送ICMP数据包,也同样会使系统瘫痪。ICMP 是Internet控制报文协议,是TCP/IP协议协议组的一个子协议,其用途是在IP主机和路由器之间传递控制消息。控制消息是是指网络连通情况、主机到达情况、路由可用情况等网络本身的消息。这些控制消息虽然并不用于传输用户数据,但是对于用户数据的传递具有很重要的作用。
ICMP协议虽然容易被黑客利用,但ICMP攻击也并非无法防御的。只要在日常管理中提前做好准备,就可以有效地避免其造成的损失。天下数据小编跟大家分享下几点ICMP flood的防御方法。
对于“Ping of Death”攻击,可以采取两种方法进行防范:
1. 在路由器上对ICMP数据包进行带宽限制,将ICMP占用的带宽控制在一定的范围内,这样即使有ICMP攻击,它所占用的带宽也是非常有限的,对整个网络的影响非常少;
2. 在主机上设置ICMP数据包的处理规则,最好是设定拒绝所有的ICMP数据包。
设置ICMP数据包处理规则的方法:
1. 在操作系统上设置包过滤,
2. 在主机上安装防火墙。
一旦选择了合适的防火墙,用户应该配置一个合理的安全策略。以下是被普遍认可的防火墙安全配置惯例,可供管理员在系统安全性和易用性之间作出权衡。
防火墙应该强制执行一个缺省的拒绝策略。除了出站的ICMP Echo Request、出站的ICMP Source Quench、进站的TTL Exceeded和进站的ICMP Destination Unreachable之外,所有的ICMP消息类型都应该被阻止。
关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务,全网第一款指纹识别技术防火墙,自研的WAF指纹识别架构,提供任意CC和
DDoS攻击防御。