什么是Ping (ICMP) 洪水攻击?
ping Flood 是一种拒绝服务攻击,攻击者试图用ICMP 回显请求数据包淹没目标设备,导致目标设备无法访问正常流量。当攻击流量来自多个设备时,攻击就变成了DDoS或分布式拒绝服务攻击。
Ping 洪水攻击是如何工作的?
在Ping Flood 攻击中使用的Internet 控制消息协议 (ICMP)是网络设备用于通信的Internet 层协议。网络诊断工具traceroute和ping都使用ICMP 运行。通常,ICMP echo-request 和 echo-reply 消息用于 ping 网络设备,以诊断设备的健康状况和连通性以及发送方与设备之间的连接。
ICMP 请求需要一些服务器资源来处理每个请求并发送响应。该请求还需要传入消息(echo-request)和传出响应(echo-reply)的带宽。Ping Flood 攻击旨在压倒目标设备响应大量请求和/或使用虚假流量使网络连接过载的能力。通过让僵尸网络中的许多设备针对具有ICMP 请求的相同互联网资产或基础设施组件,攻击流量会大幅增加,可能会导致正常网络活动的中断。从历史上看,攻击者经常使用虚假IP 地址进行欺骗以屏蔽发送设备。在现代僵尸网络攻击中,恶意行为者很少发现需要掩饰机器人的IP,而是依靠大型未受欺骗的机器人网络来饱和目标的容量。
Ping (ICMP) Flood 的 DDoS 形式可以分解为 2 个重复步骤:
[if !supportLists]00001. [endif]攻击者使用多个设备向目标服务器发送许多ICMP 回显请求数据包。
[if !supportLists]00002. [endif]然后,目标服务器向每个请求设备的IP 地址发送一个 ICMP 回显回复数据包作为响应。
Ping Flood 的破坏性影响与向目标服务器发出的请求数量成正比。与NTP放大、DNS放大等基于反射的DDoS攻击不同,Ping Flood攻击流量是对称的;目标设备接收的带宽量只是从每个机器人发送的总流量的总和。
如何缓解Ping 洪水攻击?
通过禁用目标路由器、计算机或其他设备的ICMP 功能,最容易禁用 ping 泛洪。网络管理员可以访问设备的管理界面并禁用其使用 ICMP 发送和接收任何请求的能力,从而有效地消除对请求的处理和回声回复。这样做的结果是所有涉及 ICMP 的网络活动都被禁用,使设备对 ping 请求、traceroute 请求和其他网络活动无响应。
Cloudflare 如何缓解 Ping Flood 攻击?
Cloudflare 通过站在目标源服务器和 Ping 洪水之间来部分缓解这种类型的攻击。当发出每个 ping 请求时,Cloudflare 会在我们的网络边缘处理ICMP 回显请求和回复的处理和响应过程。该策略将目标服务器的带宽和处理能力的资源成本转移到 Cloudflare 的Anycast网络上。
