FAQ ID：483

讯息：来自于WINDOWS/UNIX 的 ping、ICMP攻击

摘要:此攻击行为会产生的一个ICMP回应请求，使Windows主机运行cyberkit 2.2软件。 ICMP 被 IP 层用于向一台主机发送单向的告知性消息。在 ICMP 中没有验证机制，这就导致了使用 ICMP 可以造成服务拒绝的攻击，或者可以支持攻击者截取数据包。下面列出了几种与 ICMP 协议相关的攻击类型：

ICMP DOS 攻击：攻击者使用 ICMP “时间超出”或“目标地址无法连接”的消息。这两种 ICMP 消息都会导致一台主机迅速放弃连接。攻击只需伪造这些 ICMP 消息中的一条，并发送给通信中的两台主机或其中的一台，就可以利用这种攻击了。接着通信连接就会被切断。当一台主机错误地认为信息的目标地址不在本地网络中的时候，网关通常会使用 ICMP “转向”消息。如果攻击者伪造出一条“转向”消息，它就可以导致另外一台主机经过攻击者主机向特定连接发送数据包。

ICMP 数据包放大（或 ICMP Smurf）：攻击者向安全薄弱网络所广播的地址发送伪造的 ICMP 响应数据包。那些网络上的所有系统都会向受害计算机系统发送 ICMP 响应的答复信息，占用了目标系统的可用带宽并导致合法通信的服务拒绝（DoS）。

死Ping攻击：攻击者向受害计算机发送一条比最大 IP 数据包容量还要大许多的 ICMP 响应请求数据包。既然所接收到的 ICMP 响应请求数据包的容量远远高于正常的 IP 数据包，受害计算机不能够将这些数据包重新组合起来。这样导致的结果是，操作系统要么瘫痪，要么重启。

ICMP PING 淹没攻击：大量的 PING 信息广播淹没了目标系统，使得它不能够对合法的通信做出响应。

ICMP nuke 攻击：Nuke 发送出目标操作系统无法处理的信息数据包，从而导致该系统瘫痪。

受影响的系统：所有系统

易用性攻击：简单攻击

拦截行动：FlowGate阻止进入内网的ICMP回应请求，拒绝其攻击于网关之外。