死亡之 Ping DDoS 攻擊

死亡之 Ping (PoD) 攻擊是一種 DDoS 攻擊,它傳送異常大的封包以破壞 Web 伺服器。

學習目標

閱讀本文後,您將能夠:

  • 定義死亡之 Ping 攻擊
  • 說明 POD 攻擊的運作方式
  • 說明 PoD 攻擊的緩解策略

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是死亡之 Ping 攻擊?

死亡之 Ping (PoD) 攻擊是一種阻斷服務 (DoS) 攻擊,攻擊者的目標是透過傳送大於允許大小上限的封包來破壞目標電腦,導致目標電腦凍結或當機。最初的死亡之 Ping 攻擊如今已經不常見了。被稱為 ICMP 洪水攻擊的相關攻擊更為普遍。

死亡之 Ping 攻擊如何運作?

網際網路控制訊息通訊協定 (ICMP) 回應回覆訊息或「ping」,是用於測試網路連線的網路公用程式,其運作原理類似於聲納——傳出一個「脈衝」,該脈衝的「回應」告訴操作員有關環境的資訊。如果連線正常,來源電腦會收到目標電腦的回覆。

雖然有些 ping 封包非常小,但 IP4 ping 封包大得多,而且容許的封包大小上限為 65,535 位元組。某些 TCP/IP 系統未設計用來處理大於最大值的封包,因此容易受到超過該大小的封包的攻擊。

死亡之 Ping DDoS 攻擊

當惡意大型封包從攻擊者傳輸到目標時,封包會分割成片段,每個片段都低於最大大小限制。當目標電腦嘗試將片段組合到一起時,總數超過大小限制,並且可能會發生緩衝區溢位,從而導致目標電腦凍結、當機或重新開機。

雖然 ICMP 回應可用於此攻擊,但任何傳送 IP 資料包的內容都可用於此漏洞。這包括 TCP、UDP 和 IPX 傳輸。

如何緩解死亡之 Ping DDoS 攻擊?

阻止攻擊的一個解決方案是在重組過程中新增檢查,以確保封包重組後不會超過最大封包大小限制。另一種解決方案是建立一個具有足夠空間的記憶體緩衝區,來處理超過準則最大值的封包。

原始死亡之 Ping 攻擊大多已經滅絕;1998 年後生產的裝置通常都能夠防禦此類攻擊。部分舊設備可能仍易受攻擊。最近發現了針對 Microsoft Windows IPv6 封包的新型死亡之 Ping 攻擊,並於 2013 年年中進行修補。Cloudflare DDoS 防護透過在格式錯誤的封包到達目標主機電腦之前丟棄它們來緩解死亡之 Ping 攻擊。