ICMP Flood防御原理

介绍ICMP flood的攻击和防御原理

攻击者短时间内发送大量的ICMP报文到被攻击目标，导致依靠会话转发的网络设备会话耗尽引起网络瘫痪，如果采用超大报文攻击也会导致网络链路拥塞。比如ping命令上面就有某个选项可以调整ICMP报文的发送大小，最大时65500B，在一些普通的主机上都没有对这个大ICMP包进行防范，所以如果没有对ICMP的大小进行限制那么毫无疑问将会产生十分严重的后果。所以一般来说，如果我们在网络上使用ping命令去制造一些大的ICMP报文希望某些网站的服务器可以做出应答一般是痴心妄想，一般来说我经过测试，只要你的ping报文的大小不超过1000B，一般都是可以做出回应的，但是即便如果当攻击者控制了某片僵尸网络，然后再控制僵尸网络去对目的主机进行攻击其产生的流量也是十分巨大的，就一个比较常见的DDOS方式就是攻击者使用僵尸网络，然后在主机后台产生多个隐形进程去不断发送ping包，而且通过修改ping命令的发送频率将会使得ICMP的Flood变得愈发庞大，同时攻击者还可以开启十分多的后台隐形进程去不断发送ICMP报文，那么我们来做个简单的计算，设一个僵尸主机可以开启300个ping进程，那么如果一个僵尸网络有200台，那么每个ping进程都发送1000B的ICMP大包，同时攻击者修改发送间隔为每秒发送一次，那么针对这个僵尸网络每秒产生的流量将会是200*1000B*300=57G，当然一台主机能够开启的ping进程不仅仅才300个，可能还会更多。也许可能服务器能够处理这个程度的流量，但是无疑会对服务进行影响。

限流

基本上没有业务承载在ICMP协议上，而ICMP flood至今仍旧是DDoS攻击的一大类。FW支持全局对ICMP报文限流，即将流量限制在较小范围内，超过阈值部分的报文直接丢弃。

FW针对目的IP进行统计，当到达同一目的IP地址的ICMP流量达到告警阈值时，启动限流策略，丢弃超过上限的ICMP报文。

阻断

同时，FW支持在入接口上阻断ICMP报文。

当FW发现对同一目的地址的ICMP报文超过阈值就认为发生攻击，FW将没有命中白名单的ICMP报文全部丢弃，从而保证不被ICMP Flood攻击影响正常服务。