【IT168 专稿】

    懂得网络的人都知道我们常用Ping命令来检查网络是否畅通的一个简单的手段，可是这个Ping也能给Windows系统带来不可预测的灾难，那就是Ping入侵即是ICMP入侵，后果是相当严重的。所以这里我们要详细讨论一下ICMP攻击方法及防范措施。

    ICMP攻击及欺骗技术

    所谓：“知己知彼，百战不怠”，要学会防范就必须知道攻击是怎样的。使用ICMP攻击的原理实际上就是通过Ping大量的数据包使得计算机的CPU使用率居高不下而崩溃，一般情况下黑客通常在一个时段内连续向计算机发出大量请求而导致CPU占用率太高而死机。基于ICMP的攻击可以分为两大类，一是ICMP攻击导致拒绝服务（DoS）；另外一个是基于重定向（redirect）的路由欺骗技术。

    服务拒绝攻击是最容易实施的攻击行为，目前，基于ICMP的攻击绝大部分都可以归类为拒绝服务攻击，其又可以分成3个小类：

    针对带宽的DoS攻击

    针对带宽的DoS攻击，主要是利用无用的数据来耗尽网络带宽。Pingflood、pong、echok、flushot、fraggle 和 bloop是常用的ICMP攻击工具。通过高速发送大量的ICMP Echo Reply数据包，目标网络的带宽瞬间就会被耗尽，阻止合法的数据通过网络。ICMP Echo Reply数据包具有较高的优先级，在一般情况下，网络总是允许内部主机使用PING命令。

    这种攻击仅限于攻击网络带宽，单个攻击者就能发起这种攻击。更厉害的攻击形式，如smurf和papa-smurf，可以使整个子网内的主机对目标主机进行攻击，从而扩大ICMP流量。使用适当的路由过滤规则可以部分防止此类攻击，如果完全防止这种攻击，就需要使用基于状态检测的防火墙。