Ping (ICMP) 洪水 DDoS 攻擊

ping 洪水是一種 DDoS 攻擊,它使用 ICMP 請求來使目標不堪重負。

學習目標

閱讀本文後,您將能夠:

  • 定義 Ping 洪水 DDoS 攻擊
  • 能夠解釋 Ping 洪水攻擊的運作方式
  • 瞭解 Ping 攻擊的類型
  • 實作緩解 Ping 洪水攻擊的策略

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是 Ping (ICMP) 洪水攻擊?

ping 洪水是一種阻斷服務攻擊,攻擊者嘗試利用 ICMP 回應請求封包使目標裝置不堪重負,導致正常流量無法進入目標裝置。當攻擊流量來自多個裝置時,該攻擊將成為 DDoS 或分散式阻斷服務攻擊。

Ping 洪水攻擊如何運作?

Ping 洪水攻擊中會使用網際網路控制訊息通訊協定 (ICMP),這是網路裝置用來進行通訊的網際網路層通訊協定。網路診斷工具 tracerouteping 都使用 ICMP 運作。通常,ICMP 回應請求和回應回覆訊息用於對網路裝置進行 ping 動作,以診斷裝置的健康情況和連線性以及寄件者與裝置之間的連線。

ICMP 請求需要一些伺服器資源來處理每個請求並傳送回應。該請求的傳入訊息(回應請求)和傳出回應(回應回覆)也都需要頻寬。Ping 洪水攻擊旨在利用虛假流量使目標裝置無法回應大量請求和/或讓網路連線過載。透過使殭屍網路中的許多裝置利用 ICMP 請求針對相同的網際網路資產或基礎結構元件,攻擊流量將大大增加,進而可能導致正常網路活動的中斷。在以前,攻擊者通常會利用偽造的 IP 位址進行偽裝,來遮罩傳送裝置。藉助現代殭屍網路攻擊,惡意行為者幾乎不需要遮罩機器人的 IP,而是依靠未偽造的機器人構成的大型網路來使目標的容量達到飽和。

Ping (ICMP) 洪水形式的 DDoS 攻擊可以分為 2 個重複步驟:

  1. 攻擊者使用多個裝置向目標伺服器傳送許多 ICMP 回應請求封包。
  2. 然後目標伺服器將 ICMP 回應回覆封包傳送到每個請求裝置的 IP 位址作為回應。
Ping ICMP DDoS 攻擊圖

Ping 洪水攻擊的破壞性影響與向目標伺服器發出的請求數量成正比。與基於反射的 DDoS 攻擊(例如 NTP 放大DNS 放大攻擊)不同,Ping 洪水的攻擊流量是對稱的;目標裝置接收的頻寬量是每個機器人傳送的總流量之和。

Ping 洪水攻擊如何緩解?

阻止 ping 洪水攻擊最簡單的方法是停用目標路由器、電腦或其他裝置的 ICMP 功能。網路管理員可以存取裝置的管理介面,並停用其使用 ICMP 傳送和接收任何請求的能力,即可有效地消除對請求和回應回覆的處理。在此後,所有涉及 ICMP 的網路活動都會被停用,裝置會對 ping 請求、traceroute 請求和其他網路活動無回應。

Cloudflare 如何緩解 Ping 洪水攻擊?

Cloudflare 可透過介於目標原始伺服器與 Ping 洪水攻擊之間,在某種程度上緩解此類型的攻擊。發出每個 ping 請求時,Cloudflare 會處理 ICMP 回應請求的處理和回應過程,並在我們的網路邊緣進行回覆。這種策略可以節省目標伺服器的頻寬和處理能力的資源成本,並將其放置在 Cloudflare 的 Anycast 網路上。瞭解更多有關 Cloudflare DDoS 防護的資訊。