别让网络迷路！ICMP Redirection攻击防御指南(图文)

网络安全警钟：ICMP Redirection 攻击是什么？

在深入探讨 ICMP Redirection 攻击之前，我们先来认识一下 ICMP 协议。ICMP，即网际控制报文协议（Internet Control Message Protocol） ，是网络层的重要组成部分，与 IP 协议紧密协作。它就像是网络的 “侦察兵” 和 “通讯员”，主要负责在 IP 主机、路由器之间传递控制消息，包括报告错误、交换受限控制和状态信息等。比如我们常用的 Ping 命令，就是利用 ICMP 协议来检查网络是否连通，还有 Tracert 命令，用于显示数据包到达目的主机所经过的路径，这些都是 ICMP 协议在网络管理中的典型应用。
正常情况下，ICMP 协议中的 ICMP Redirection 报文（重定向报文）有着重要且积极的作用。当主机发送数据包时，它会根据自己的路由表将数据包发送给默认网关。而网关在接收到数据包后，会检查数据包的目的地址，并与自己的路由表进行比对。如果网关发现有一条更优的路径可以将数据包发送到目的地址，且这条路径的下一跳路由器与源主机处于同一网段，那么网关就会向源主机发送一个 ICMP Redirection 报文。这个报文的作用就是告诉源主机：“嘿，你下次发往这个目的地址的数据包，直接发给那个更优路径的下一跳路由器吧，这样能更快到达目的地。” 源主机收到这个重定向报文后，就会更新自己的路由表，将该目的地址的下一跳设置为报文中指定的路由器，从而优化数据传输路径，提高网络通信效率。
然而，正是 ICMP Redirection 报文这种看似 “贴心” 的功能，被攻击者盯上并加以利用，演变成了一种极具威胁的攻击手段。攻击者通过伪造 ICMP Redirection 报文，伪装成合法的路由器，向目标主机发送虚假的重定向信息。目标主机在接收到这些伪造的报文后，会误以为是正常的路由优化指示，从而按照攻击者指定的路径发送数据包。而这条路径往往是攻击者精心设计的，可能会将数据包引导至攻击者控制的服务器，或者是一个不存在的、错误的地址。
当数据包被引导至攻击者控制的服务器时，攻击者就成功实现了中间人攻击（MitM，Man-in-the-Middle Attack）。在这种情况下，攻击者可以像一个 “窃听者” 一样，轻松截获、篡改甚至伪造数据包的内容。比如，在用户进行网上银行交易时，攻击者通过 ICMP Redirection 攻击，将用户的交易数据包拦截下来，获取其中的账号、密码等敏感信息，然后进行恶意操作，给用户带来巨大的经济损失；在企业网络中，攻击者可以篡改企业内部的通信数据，干扰企业的正常运营，窃取商业机密。
而如果数据包被引导至错误的地址，就会导致目标主机无法正常通信，进而引发拒绝服务攻击（DoS，Denial of Service）。目标主机不断地向错误的地址发送数据包，却始终得不到正确的回应，大量的网络资源被浪费在这些无效的传输上，最终导致目标主机的网络连接被耗尽，无法为合法用户提供正常的服务。例如，一家电商网站遭受 ICMP Redirection 攻击后，用户无法正常访问网站，导致订单无法提交，商品无法浏览，给企业带来严重的经济损失和声誉损害。

攻击场景还原：它如何悄然来袭

为了更直观地感受 ICMP Redirection 攻击的威胁，我们来模拟两个常见的攻击场景。

企业内网危机

某中型企业的办公网络中，员工们日常通过内网访问公司的各种业务系统，如邮件服务器、文件共享服务器、客户关系管理系统等。网络架构采用常见的三层结构，核心层、汇聚层和接入层，员工主机通过接入层交换机连接到网络，汇聚层交换机负责将各个接入层的流量汇聚并转发到核心层，核心层再与外部网络进行连接。公司的网关设备负责内网与外网之间的通信，同时承担着路由转发的功能。
一天，一名黑客通过社会工程学手段，获取了企业内网中一台员工主机的权限。黑客利用这台被攻陷的主机作为跳板，在企业内网中进行进一步的探测和攻击。黑客发现，企业内网中存在一些未及时更新安全补丁的主机，并且网络中对 ICMP 报文的过滤规则较为宽松。
于是，黑客决定发动 ICMP Redirection 攻击。黑客使用专门的攻击工具，如 Netwox 等，向企业内网中的其他主机发送伪造的 ICMP Redirection 报文。这些报文伪装成合法的网关设备发送的，指示目标主机将原本发往正常服务器的数据包，重定向到黑客控制的恶意服务器上。
例如，企业员工 A 想要访问公司的邮件服务器，以收取重要的工作邮件。正常情况下，员工 A 的主机根据其路由表，将数据包发送给网关设备，网关设备再将数据包转发到邮件服务器。然而，由于黑客发送的伪造 ICMP Redirection 报文，员工 A 的主机误以为有一条更优的路径，将数据包发送到了黑客控制的恶意服务器。
黑客在恶意服务器上，不仅可以轻松截获员工 A 的邮件数据，包括邮件内容、附件等敏感信息，还可以对这些数据进行篡改，比如修改邮件的重要内容，或者在附件中植入恶意软件。当员工 A 收到被篡改的邮件时，可能会做出错误的决策，给公司带来损失。同时，黑客还可以利用截获的员工账号和密码，进一步入侵公司的其他系统，窃取更多的商业机密。
随着越来越多的主机受到 ICMP Redirection 攻击，企业内网的通信逐渐陷入混乱。大量的数据包被错误地引导，导致网络带宽被严重占用，正常的业务通信无法进行。员工们发现无法访问公司的业务系统，邮件无法发送和接收，文件无法共享，工作陷入停滞。企业的生产效率大幅下降，经济损失不断增加，同时企业的声誉也受到了严重的损害。

家庭网络陷阱

在一个普通家庭中，用户通过无线路由器连接到互联网，家中有多台智能设备，如手机、平板电脑、笔记本电脑、智能电视等，都依赖这个家庭网络进行上网。无线路由器的默认网关负责将家庭网络中的设备连接到外部网络。
一天，用户在公共场所使用不安全的 Wi-Fi 网络时，手机不慎感染了恶意软件。该恶意软件具备发动 ICMP Redirection 攻击的能力，并且发现用户的手机与家庭网络处于同一局域网。
当用户回到家中，手机自动连接到家庭网络后，恶意软件开始在家庭网络中发起攻击。它向家庭网络中的其他设备，如笔记本电脑，发送伪造的 ICMP Redirection 报文。这些报文伪装成无线路由器发送的，指示笔记本电脑将原本发往互联网的数据包，重定向到恶意软件指定的服务器。
假设用户想用笔记本电脑进行网上购物，在访问电商网站时，由于 ICMP Redirection 攻击，笔记本电脑将购物请求的数据包发送到了恶意服务器。黑客在恶意服务器上，能够获取用户的购物信息，包括商品浏览记录、购买的商品信息、支付账号和密码等。黑客可以利用这些信息，进行盗刷用户的支付账户，或者将用户的个人信息在黑市上出售，给用户带来直接的经济损失和隐私泄露风险。
同时，由于家庭网络中的设备被误导发送数据包，网络连接变得不稳定，智能电视无法正常播放视频，平板电脑无法流畅浏览网页，严重影响了用户的日常生活体验。

防御策略大揭秘

面对 ICMP Redirection 攻击的严峻威胁，我们不能坐以待毙，必须采取有效的防御策略来保护我们的网络安全。下面就为大家详细介绍几种关键的防御方法。

（一）系统层面的防御设置

在系统层面，禁用 ICMP 重定向功能是防御攻击的重要一步。对于 Windows 系统，我们可以通过修改注册表来实现。具体操作如下：首先，按下 Win+R 键，打开运行对话框，输入 “regedit” 并回车，打开注册表编辑器。然后，在注册表中找到 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters” 路径。在该路径下，如果不存在名为 “EnableICMPRedirect” 的 DWORD 值，我们右键单击 “Parameters” 键，选择 “新建”>“DWORD 值”，并将其命名为 “EnableICMPRedirect”。接着，双击 “EnableICMPRedirect” 键，将其值设置为 “0”，这样就禁用了 ICMP 重定向功能。最后，重启计算机，使更改生效。需要注意的是，修改注册表有一定风险，如果操作不当可能会导致系统出现问题，所以在修改前最好备份注册表。
而在 Linux 系统中，我们可以通过修改系统配置文件来禁用 ICMP 重定向。使用文本编辑器打开 “/etc/sysctl.conf” 文件，在文件中添加或修改以下内容：

net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0 （这里的eth0是网络接口名称，根据实际情况修改，如果有多个网络接口，需要对每个接口进行设置）
保存文件后，在终端中执行 “sysctl -p” 命令，使配置立即生效。通过这样的设置，Linux 系统将不再接受 ICMP 重定向报文，从而有效降低了遭受 ICMP Redirection 攻击的风险。

（二）防火墙的巧妙运用

防火墙在网络安全防护中起着至关重要的作用，它就像是网络的 “守护者”，可以帮助我们过滤掉恶意的 ICMP 重定向消息。我们可以通过配置防火墙规则，对 ICMP 报文进行细致的过滤。
以常见的 Cisco 防火墙为例，我们可以使用以下命令来配置规则：

access - list 100 deny icmp any any redirect
access - list 100 permit icmp any any
interface gigabitethernet0/0
ip access - group 100 in
上述命令中，第一条命令表示拒绝所有 ICMP 重定向报文通过；第二条命令表示允许其他正常的 ICMP 报文通过；第三条命令将访问控制列表 100 应用到名为 gigabitethernet0/0 的接口上，使其对进入该接口的流量生效。
对于 Windows 防火墙，我们可以按照以下步骤进行配置：打开控制面板，找到 “Windows 防火墙” 选项并进入。在左侧菜单中选择 “高级设置”，然后在弹出的窗口中选择 “入站规则”。在右侧点击 “新建规则”，在规则类型中选择 “自定义”，点击 “下一步”。在程序页面选择 “所有程序”，继续点击 “下一步”。在协议和端口页面，选择 “ICMPv4”（如果是 IPv6 网络则选择 “ICMPv6”），然后点击 “自定义” 按钮。在弹出的自定义 ICMP 设置窗口中，选择 “特定类型的 ICMP 消息”，并在下方勾选 “重定向”，点击 “确定”。回到新建入站规则窗口，选择 “阻止连接”，然后按照提示完成后续步骤，这样就阻止了 ICMP 重定向报文进入系统。
通过合理配置防火墙规则，我们可以有效地阻止伪造的 ICMP 重定向消息进入网络，保护网络免受攻击。

（三）加密技术的保驾护航

使用加密技术对数据传输进行加密，是防御 ICMP Redirection 攻击的另一重要手段。它就像是给数据穿上了一层坚固的 “铠甲”，即使数据包被攻击者截获，由于数据是加密的，攻击者也无法获取其中的敏感信息。
VPN（虚拟专用网络）是一种常用的加密通信方式，它通过在公用网络上建立专用网络，进行加密通信。企业可以通过部署 VPN，让员工在访问公司内部资源时，数据通过加密的隧道进行传输。例如，员工在家中通过 VPN 连接到公司内网，访问公司的邮件服务器、文件服务器等，所有的数据传输都经过加密，即使攻击者通过 ICMP Redirection 攻击获取到数据包，也无法解密其中的内容，从而保护了企业的信息安全。
此外，HTTPS 协议也是一种重要的加密协议，它在 HTTP 的基础上加入了 SSL/TLS 加密层，对数据进行加密传输。我们在浏览网页时，当网址前面显示 “https” 时，就表示该网站使用了 HTTPS 协议。在进行网上购物、银行转账等操作时，使用 HTTPS 协议可以确保我们输入的账号、密码、交易金额等敏感信息在传输过程中的安全性，防止被攻击者窃取。
加密技术在保障网络安全中起着不可或缺的作用，它为我们的数据传输提供了可靠的安全保障，有效地防止了 ICMP Redirection 攻击可能导致的数据泄露问题。

日常防护小贴士

除了上述专业的防御策略，我们在日常生活和工作中，还需要养成良好的网络安全习惯，为网络安全增添一份保障。
定期更新系统和软件补丁是非常重要的防护措施。软件开发者会不断修复软件中存在的安全漏洞，发布新的补丁。如果我们不及时更新，这些漏洞就可能被攻击者利用，成为 ICMP Redirection 攻击的入口。以 Windows 系统为例，微软会定期发布月度安全更新，其中包含了对各种漏洞的修复。我们应该开启自动更新功能，或者定期手动检查更新，确保系统和软件始终处于最新的安全状态。
使用入侵检测系统（IDS）和入侵防御系统（IPS）也是有效的防护手段。IDS 就像网络的 “侦察兵”，能够实时监测网络流量，识别潜在的攻击行为，并及时发出警报。而 IPS 则更进一步，它不仅能检测攻击，还能主动采取措施拦截攻击，就像网络的 “卫士”，直接阻止攻击者的入侵。我们可以根据自己的网络规模和需求，选择合适的 IDS 和 IPS 产品，并进行合理的配置，使其能够有效地发挥作用。
保持警惕，不随意连接未知网络也是至关重要的。在公共场所，如咖啡馆、机场等，我们经常会遇到一些免费的 Wi-Fi 网络，但这些网络的安全性往往无法保证。攻击者可能会在这些网络中设置陷阱，利用 ICMP Redirection 攻击窃取我们的个人信息。因此，我们应该尽量避免连接这些未知网络，如果必须使用，最好通过 VPN 等加密方式进行连接，以确保数据传输的安全。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御。