别让ICMP重定向攻击，悄悄“劫持”你的网络(图文)

揭开 ICMP 重定向攻击的神秘面纱

在数字化时代，网络攻击如影随形，威胁着我们的网络安全。从个人隐私到企业机密，从日常生活到关键基础设施，网络攻击的影响无处不在。今天，我们将聚焦于一种较为隐蔽但危害不容小觑的网络攻击方式 ——ICMP 重定向攻击。
ICMP，即网际控制报文协议（Internet Control Message Protocol），是 TCP/IP 协议簇的一个重要子协议，主要用于在 IP 主机、路由器之间传递控制消息 ，这些控制消息对于用户数据的传递起着至关重要的作用，就像是网络世界的 “交通警察”，保障着数据传输的顺畅。它可以告知主机网络通不通、主机是否可达、路由是否可用等网络本身的消息。
正常情况下，ICMP 重定向机制是为了优化网络路由。比如，当主机 A 向主机 B 发送数据时，主机 A 会根据自己的路由表将数据发送给默认网关 R1。如果 R1 发现，数据的最佳转发路径应该是通过另一个与主机 A 在同一网段的网关 R2，那么 R1 就会向主机 A 发送一个 ICMP 重定向报文，告诉主机 A 下次直接将数据发送给 R2，这样可以提高数据传输效率。
然而，攻击者却利用了 ICMP 重定向的这一机制，发动 ICMP 重定向攻击。攻击者通过伪造 ICMP 重定向报文，向目标主机发送虚假的路由信息，让目标主机误以为攻击者指定的路径是最佳路径。比如，攻击者向目标主机发送 ICMP 重定向报文，声称某个原本正常的网关不可用，而攻击者自己的主机才是新的最佳网关 。如果目标主机信任了这个虚假的报文，就会更新自己的路由表，将数据发送给攻击者的主机。这样一来，攻击者就可以拦截、篡改或窃取目标主机的数据，实现中间人攻击，甚至导致目标主机网络瘫痪。

ICMP 重定向攻击的实战演练

为了让大家更直观地感受 ICMP 重定向攻击的威力，我们来进行一场实战演练。在这个演练中，我们将搭建一个模拟网络环境，使用 kali 作为攻击机，Windows 作为靶机 。

实验环境搭建

1. 攻击机：安装有 kali 操作系统的虚拟机，IP 地址为 192.168.1.100。kali 系统自带了丰富的网络攻击工具，为我们的演练提供了便利。

2. 靶机：安装有 Windows 操作系统的虚拟机，IP 地址为 192.168.1.101，网关为 192.168.1.1 。这是我们的目标主机，将遭受 ICMP 重定向攻击。

3. 网络配置：确保攻击机和靶机处于同一局域网内，以便进行通信和攻击。

工具使用

我们将使用 netwox 工具来发动 ICMP 重定向攻击。netwox 是一个功能强大的网络工具集，包含了各种网络测试和攻击工具 。在 kali 系统中，netwox 已经默认安装，我们可以直接使用。如果你的系统中没有安装，可以通过以下命令进行安装：

apt-get install netwox

攻击步骤

1. 开启攻击机的路由转发功能：在攻击机上打开终端，编辑/etc/sysctl.conf文件，找到net.ipv4.ip_forward=0这一行，将其改为net.ipv4.ip_forward=1 ，然后执行sudo sysctl -p使设置生效。这一步是为了让攻击机能够转发数据包，实现中间人攻击。

2. 执行攻击命令：在攻击机的终端中输入以下命令：

netwox 86 -f "host 192.168.1.101" -g "192.168.1.100" -i "192.168.1.1"
这条命令的含义是：使用 netwox 的 86 号工具，向目标主机 192.168.1.101 发送 ICMP 重定向报文，告诉目标主机将原本发往网关 192.168.1.1 的数据包发送到 192.168.1.100（即攻击机的 IP 地址）。
3. 观察攻击效果：在靶机上打开命令提示符，输入route print命令查看路由表，可以发现网关已经被修改为攻击机的 IP 地址。此时，靶机发出的数据包都会先经过攻击机，我们可以在攻击机上使用 wireshark 等抓包工具，捕获并分析靶机的网络流量，实现中间人攻击。例如，我们可以查看靶机访问的网站、传输的文件等信息，甚至可以篡改数据包的内容 。
通过以上实战演练，我们可以清楚地看到 ICMP 重定向攻击的过程和效果。这种攻击方式利用了 ICMP 协议的特性，通过伪造重定向报文，让目标主机修改路由表，从而实现对网络流量的控制和窃取 。在实际网络环境中，这种攻击可能会带来严重的安全威胁，因此我们必须采取有效的防范措施来保护网络安全。

多维度解析 ICMP 重定向攻击的危害

ICMP 重定向攻击就像隐藏在网络深处的一颗定时炸弹，一旦触发，可能会给个人、企业甚至整个网络生态带来严重的危害 。

数据泄露的风险

当攻击者成功发动 ICMP 重定向攻击，将目标主机的流量引向自己控制的主机时，就如同在目标主机与正常通信对象之间建立了一条 “窃听隧道” 。在这条隧道中，攻击者可以轻松地截获目标主机发送和接收的数据包，从中获取敏感信息。这些信息可能包括用户的账号密码、企业的商业机密、个人的隐私数据等。例如，在企业网络中，员工与服务器之间传输的合同文件、财务报表等重要资料，一旦被攻击者窃取，可能会导致企业面临巨大的经济损失和商业信誉损害。

网络瘫痪的威胁

大量的虚假 ICMP 重定向报文会使目标主机的路由表陷入混乱。路由表就像是网络通信的导航地图，当它被错误信息充斥时，数据包就无法找到正确的传输路径，就像船只在茫茫大海中失去了导航，只能盲目漂流 。这将导致网络通信出现严重的延迟、丢包甚至完全中断，使目标主机无法正常访问网络资源，企业的业务系统无法正常运行，用户的网络体验急剧下降。在一些对网络实时性要求极高的场景，如金融交易、在线医疗等，网络瘫痪可能会造成不可挽回的损失 。

业务中断的困境

对于企业而言，ICMP 重定向攻击可能导致业务中断，这对企业的运营和发展来说是致命的打击。例如，电商企业在促销活动期间，如果遭受 ICMP 重定向攻击，用户无法正常访问网站进行购物，不仅会导致直接的经济损失，还会让用户对企业的服务产生不满，从而失去客户信任，影响企业的长期发展 。又如，在线游戏平台遭受攻击，玩家无法正常登录游戏，可能会导致大量玩家流失，对游戏开发商和运营商的声誉和收入造成严重影响。

全方位构建防御体系，应对 ICMP 重定向攻击

面对 ICMP 重定向攻击带来的种种危害，我们必须积极采取有效的防范措施，构建起全方位的防御体系 ，才能在网络的海洋中保障我们数据和业务的安全。下面将从系统设置、网络设备配置和安全工具应用三个层面详细介绍防御策略。

系统设置层面的防御策略

1. Linux 系统：在 Linux 系统中，我们可以通过修改系统参数来禁止接收 ICMP 重定向数据包。具体操作如下：打开终端，使用文本编辑器（如 vim）编辑/etc/sysctl.conf文件，在文件中添加或修改以下几行内容：

net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0 # 如果有多个网络接口，需要对每个接口进行设置，eth0为示例接口
修改完成后，保存文件并执行sudo sysctl -p命令使设置生效。这样，系统就不会再接收 ICMP 重定向报文，从而有效防止 ICMP 重定向攻击 。
2. Windows 系统：对于 Windows 系统，我们可以通过修改注册表来实现类似的功能。按下Win + R组合键，打开运行对话框，输入regedit并回车，打开注册表编辑器。在注册表中找到以下路径：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters，在右侧窗口中找到或新建一个名为EnableICMPRedirects的 DWORD 值，将其数据数值设置为0 。修改完成后，关闭注册表编辑器。通过这种方式，Windows 系统也能够禁止接收 ICMP 重定向报文，提高系统的安全性 。

网络设备配置的防御要点

1. 路由器配置：路由器作为网络的关键设备，其配置对于防御 ICMP 重定向攻击至关重要。我们可以通过配置访问控制列表（ACL）来限制 ICMP 重定向报文的接收。以 Cisco 路由器为例，在全局配置模式下输入以下命令：

access - list 100 deny icmp any any redirect
interface gigabitEthernet 0/0 # 根据实际接口进行修改
ip access - group 100 in
上述命令表示创建一个编号为 100 的访问控制列表，拒绝所有的 ICMP 重定向报文，然后将该访问控制列表应用到指定的接口入方向 ，这样就可以阻止非法的 ICMP 重定向报文进入网络 。此外，还可以配置路由策略，确保路由器只信任合法的路由信息，不轻易接受来自未知源的重定向建议。
2. 交换机配置：交换机虽然不像路由器那样直接参与路由决策，但也可以通过一些配置来增强网络安全性。例如，开启端口安全功能，限制端口的 MAC 地址学习数量，防止攻击者通过伪造 MAC 地址进行攻击。同时，配置 DHCP Snooping 功能，防止攻击者伪造 DHCP 服务器发送恶意的 IP 地址和网关信息，从而间接防止 ICMP 重定向攻击的发生。具体配置命令因交换机品牌和型号而异，需要参考相应的设备文档进行配置 。

安全工具助力防御

1. 入侵检测系统（IDS）：IDS 就像是网络的 “监控摄像头”，它可以实时监测网络流量，分析其中是否存在异常行为和攻击迹象 。当检测到 ICMP 重定向攻击时，IDS 会立即发出警报，通知管理员采取相应措施。IDS 通常采用特征检测和异常检测两种方式来识别攻击。特征检测是根据已知的攻击特征来匹配网络流量，一旦发现匹配的流量，就判定为攻击行为；异常检测则是通过建立正常网络行为的模型，当检测到的流量与正常模型偏差较大时，就认为可能存在攻击 。常见的 IDS 产品有 Snort、Suricata 等，它们都具有强大的检测能力和灵活的配置选项，可以根据不同的网络环境进行定制化部署 。

2. 入侵防御系统（IPS）：IPS 则是更加强大的 “网络卫士”，它不仅能够检测攻击，还可以在攻击发生时自动采取措施进行阻止 。IPS 通常以串联的方式部署在网络中，直接对网络流量进行过滤和处理。当 IPS 检测到 ICMP 重定向攻击时，它会立即丢弃恶意的数据包，阻止攻击的进一步扩散 。与 IDS 相比，IPS 的防御更加主动和及时，可以有效减少攻击造成的损失。常见的 IPS 产品有 Cisco ASA、Fortinet FortiGate 等，它们在企业网络中广泛应用，为网络安全提供了可靠的保障 。

筑牢网络安全防线，共护数字世界

ICMP 重定向攻击作为网络安全的一大隐患，其防范需要我们从多个方面入手。在系统设置上，无论是 Linux 还是 Windows 系统，都要通过合理的配置禁止接收非法的 ICMP 重定向报文 ；在网络设备配置方面，路由器和交换机要设置合适的访问控制和安全策略，过滤非法流量；而入侵检测系统和入侵防御系统等安全工具，更是为我们的网络安全保驾护航的重要力量 。
网络安全不仅仅是技术问题，更是关乎个人隐私、企业发展、社会稳定的重要问题。每一次网络攻击事件都在提醒着我们，网络安全的威胁无处不在，我们必须时刻保持警惕 。在这个数字化的时代，网络已经深入到我们生活的方方面面，从日常生活中的网络购物、社交娱乐，到企业运营中的数据存储、业务处理，再到国家关键基础设施的运行，都离不开网络的支持 。因此，保障网络安全，就是保障我们生活的正常运转，就是守护我们的数字家园 。
作为个人，我们要增强网络安全意识，了解常见的网络攻击方式和防范方法，如不随意点击不明链接、不轻易连接未知的 Wi-Fi 网络等 。同时，积极传播网络安全知识，让身边的人也认识到网络安全的重要性 。作为企业，要加强网络安全管理，投入足够的资源进行网络安全防护，建立完善的应急响应机制，定期进行安全演练 。而作为社会的一员，我们更应该共同努力，营造一个安全、健康的网络环境，让网络更好地为我们服务 。
让我们行动起来，从自身做起，从现在做起，积极采取措施防范 ICMP 重定向攻击以及其他各类网络安全威胁 。只有这样，我们才能在数字化的浪潮中，安全地遨游，享受网络带来的便利和机遇，共同构建一个更加安全、美好的数字世界 。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御。