Ping 洪水是一種拒絕服務(wù)攻擊，攻擊者試圖用 ICMP 回顯請求包使目標(biāo)設(shè)備不堪重負，導(dǎo)致正常流量無法正常訪問目標(biāo)。當(dāng)攻擊流量來自多個設(shè)備時，攻擊將成為 DDoS 或分布式拒絕服務(wù)攻擊。

Ping 洪水攻擊的工作原理

Ping 洪水攻擊中會利用互聯(lián)網(wǎng)控制消息協(xié)議 (ICMP)，后者是網(wǎng)絡(luò)設(shè)備用來通信的互聯(lián)網(wǎng)層協(xié)議。網(wǎng)絡(luò)診斷工具 traceroute 和 ping 都使用 ICMP 工作。通常，ICMP 回顯請求和回顯回復(fù)消息被用于 ping 網(wǎng)絡(luò)設(shè)備，以便診斷設(shè)備的運行狀況和連接性以及發(fā)送方和設(shè)備之間的連接。

ICMP 請求需要一些服務(wù)器資源來處理每個請求并發(fā)送響應(yīng)。該請求對于傳入消息（回顯請求）和傳出響應(yīng)（回顯回復(fù)）也都需要帶寬。Ping 洪水攻擊旨在利用虛假流量使目標(biāo)設(shè)備無法響應(yīng)大量請求和/或讓網(wǎng)絡(luò)連接超負荷。通過利用 ICMP 請求使僵尸網(wǎng)絡(luò)中的許多設(shè)備針對相同的互聯(lián)網(wǎng)資產(chǎn)或基礎(chǔ)設(shè)施組件，攻擊流量將大大增加，進而可能導(dǎo)致正常網(wǎng)絡(luò)活動的中斷。在以前，攻擊者通常會在偽造的 IP 地址中進行欺騙來掩蓋發(fā)送設(shè)備。借助現(xiàn)代僵尸網(wǎng)絡(luò)攻擊，惡意行為者幾乎不需要掩蓋機器人 IP 的需要，而是依靠未偽造的機器人構(gòu)成的大型網(wǎng)絡(luò)來使目標(biāo)的容量達到飽和。

Ping (ICMP) 洪水的 DDoS 形式可分為 2 個重復(fù)步驟：

1. 攻擊者使用多個設(shè)備將許多 ICMP 回顯請求數(shù)據(jù)包發(fā)送到目標(biāo)服務(wù)器。
2. 然后目標(biāo)服務(wù)器將 ICMP 回顯回復(fù)包發(fā)送到每個請求設(shè)備的 IP 地址作為響應(yīng)。

Ping 洪水的破壞效果與對目標(biāo)服務(wù)器發(fā)出的請求數(shù)量成正比。與基于反射的 DDoS 攻擊（例如 NTP 放大和 DNS 放大攻擊），Ping 洪水的攻擊流量是對稱的；目標(biāo)設(shè)備接收的帶寬量是每個機器人發(fā)送的總流量之和。

如何防護 Ping 洪水攻擊？

禁用 ping 洪水最簡單的方法是禁用目標(biāo)路由器、計算機或其他設(shè)備的 ICMP 功能。網(wǎng)絡(luò)管理員訪問設(shè)備的管理界面，并禁用其使用 ICMP 發(fā)送和接收任何請求的能力，即可有效地消除對請求的處理和對回顯回復(fù)的處理。在此后，所有涉及 ICMP 的網(wǎng)絡(luò)活動都會被禁用，設(shè)備對 ping 請求、traceroute 請求和其他網(wǎng)絡(luò)活動無響應(yīng)。