什么是互聯(lián)網(wǎng)控制消息協(xié)議（ICMP）？

互聯(lián)網(wǎng)控制消息協(xié)議 (ICMP) 是網(wǎng)絡(luò)設(shè)備用來(lái)診斷網(wǎng)絡(luò)通信問(wèn)題的網(wǎng)絡(luò)層協(xié)議。ICMP 主要用于確定數(shù)據(jù)是否及時(shí)到達(dá)其預(yù)期的目的地。通常，ICMP 協(xié)議用于網(wǎng)絡(luò)設(shè)備，例如路由器。ICMP 對(duì)于錯(cuò)誤報(bào)告和測(cè)試至關(guān)重要，但它也可用于分布式拒絕服務(wù) (DDoS) 攻擊。

ICMP 的用途是什么？

ICMP 的主要目的是報(bào)告錯(cuò)誤。當(dāng)兩個(gè)設(shè)備通過(guò)互聯(lián)網(wǎng)連接時(shí)，ICMP 會(huì)生成錯(cuò)誤以與發(fā)送設(shè)備共享，以防任何數(shù)據(jù)未到達(dá)其預(yù)期目的地。例如，如果數(shù)據(jù)包對(duì)于路由器來(lái)說(shuō)太大，路由器將丟棄該數(shù)據(jù)包并將 ICMP 消息發(fā)送回?cái)?shù)據(jù)的原始源。

ICMP 協(xié)議的第二個(gè)用途是執(zhí)行網(wǎng)絡(luò)診斷；常用的終端實(shí)用程序 traceroute 和 ping 都使用 ICMP 運(yùn)行。Traceroute 實(shí)用程序用于顯示兩個(gè)互聯(lián)網(wǎng)設(shè)備之間的路由路徑。路由路徑是請(qǐng)求到達(dá)目的地之前必須經(jīng)過(guò)的連接路由器的實(shí)際物理路徑。一個(gè)路由器與另一個(gè)路由器之間的旅程稱為“躍點(diǎn)”，跟蹤路由還報(bào)告沿途每個(gè)躍點(diǎn)所需的時(shí)間。這對(duì)于確定網(wǎng)絡(luò)延遲來(lái)源可能很有用。

ping 實(shí)用程序是 traceroute 的簡(jiǎn)化版本。ping 將測(cè)試兩個(gè)設(shè)備之間的連接速度，并準(zhǔn)確報(bào)告數(shù)據(jù)包到達(dá)其目的地并返回發(fā)送者設(shè)備所需的時(shí)間。盡管 ping 不提供有關(guān)路由或躍點(diǎn)的數(shù)據(jù)，但它仍然是衡量?jī)蓚€(gè)設(shè)備之間延遲的有用指標(biāo)。ICMP 回顯請(qǐng)求和回顯回復(fù)消息通常用于執(zhí)行 ping。

不幸的是，網(wǎng)絡(luò)攻擊可以利用這個(gè)過(guò)程，制造破壞手段，例如 ICMP 洪水攻擊和死亡之 ping 攻擊。

ICMP 如何運(yùn)作？

與互聯(lián)網(wǎng)協(xié)議 (IP) 不同，ICMP 不與 TCP 或 UDP 等傳輸層協(xié)議相關(guān)聯(lián)。這使得 ICMP 成為無(wú)連接協(xié)議：一個(gè)設(shè)備在發(fā)送 ICMP 消息之前不需要打開與另一個(gè)設(shè)備的連接。正常的 IP 流量使用 TCP 發(fā)送，這意味著任何兩個(gè)交換數(shù)據(jù)的設(shè)備都將首先執(zhí)行 TCP 握手，以確保兩個(gè)設(shè)備都準(zhǔn)備好接收數(shù)據(jù)。ICMP 不會(huì)以這種方式打開連接。 ICMP 協(xié)議也不允許針對(duì)設(shè)備上的特定端口。

在 DDoS 攻擊中如何使用 ICMP？

ICMP 洪水攻擊

ping 洪水攻擊或 ICMP 洪水攻擊是指攻擊者試圖用 ICMP 回顯請(qǐng)求數(shù)據(jù)包淹沒目標(biāo)設(shè)備。目標(biāo)必須處理和響應(yīng)每個(gè)數(shù)據(jù)包，這會(huì)消耗其計(jì)算資源，最終導(dǎo)致合法用戶無(wú)法接收服務(wù)。

ICMP 洪水攻擊：

死亡之 Ping 攻擊

死亡之 Ping 攻擊是指攻擊者向目標(biāo)機(jī)器發(fā)送大于數(shù)據(jù)包最大允許大小的 ping，導(dǎo)致機(jī)器死機(jī)或崩潰。數(shù)據(jù)包在到達(dá)其目標(biāo)的途中被分段，但當(dāng)目標(biāo)將數(shù)據(jù)包重新組裝成其超出最大值的原始大小時(shí)，數(shù)據(jù)包的大小會(huì)導(dǎo)致緩沖區(qū)溢出。

如今，死亡之 Ping 攻擊基本上已成過(guò)去。但是，較舊的網(wǎng)絡(luò)設(shè)備仍然可能受到它的影響。

Smurf 攻擊

在 Smurf 攻擊中，攻擊者發(fā)送帶有欺騙性源 IP 地址的 ICMP 數(shù)據(jù)包。網(wǎng)絡(luò)設(shè)備回復(fù)數(shù)據(jù)包，將回復(fù)發(fā)送到欺騙性 IP 并用多余的 ICMP 數(shù)據(jù)包淹沒受害者。就像“死亡之 Ping”一樣，如今的 Smurf 攻擊只能針對(duì)舊設(shè)備。

ICMP 不是第 3 層 DDoS 攻擊中使用的唯一網(wǎng)絡(luò)層協(xié)議。例如，攻擊者過(guò)去也使用過(guò) GRE 數(shù)據(jù)包。

通常，網(wǎng)絡(luò)層 DDoS 攻擊針對(duì)網(wǎng)絡(luò)設(shè)備和基礎(chǔ)設(shè)施，而應(yīng)用程序?qū)?DDoS 攻擊則針對(duì) Web 資產(chǎn)。