网络安全“潜伏者”：ICMP redirect攻击揭秘(图文)

一、网络也有 “骗子”？ICMP redirect 初露端倪

你是否有过这样的经历，满心欢喜地跟着导航前往目的地，结果却被引入了一条偏僻的小路，不仅浪费了时间，还可能陷入危险的境地。在网络世界里，也存在着类似的 “导航骗局”，这就是 ICMP redirect 攻击。它就像一个隐藏在暗处的骗子，巧妙地篡改网络数据包的传输路径，将数据引向错误的方向，从而达到窃取信息、破坏网络的目的。今天，就让我们一起揭开 ICMP redirect 攻击的神秘面纱，看看它是如何在网络世界兴风作浪的。

二、“幕后黑手”：ICMP 协议与 ICMP redirect 攻击原理

（一）ICMP 协议：网络的 “小信使”

在网络的庞大体系中，ICMP 协议就像是一个忙碌的 “小信使”，默默地为各个设备之间传递着重要的控制消息。它是 Internet Control Message Protocol 的缩写，即网际控制报文协议，属于 TCP/IP 协议簇的一部分 ，主要用于在 IP 主机、路由器之间传递控制消息，这些消息关乎着网络的连通性、主机的可达性以及路由的可用性等关键信息，虽然不传输用户数据，但对于数据的顺利传递起着不可或缺的作用。就好比在一场盛大的马拉松比赛中，ICMP 协议就像是那些分布在赛道各处的志愿者，他们不参与比赛，但却负责传递各种关键信息，比如前方道路状况、选手是否安全等，确保比赛能够顺利进行。

（二）ICMP redirect 报文：本是 “优化助手”，却成 “攻击帮凶”

ICMP 重定向报文原本是网络中的 “优化助手”，它的设计初衷是为了帮助主机找到更优的路由路径，提高网络传输效率。当路由器发现主机发送的数据包的路由不是最优路径时，它会向主机发送 ICMP 重定向报文，告诉主机应该使用另一条更优的路由。
举个例子，假设你要从公司回家，平时你都是走路线 A，但某天路线 A 突然发生了交通拥堵，这时交警发现路线 B 更加畅通，于是他就会给你发送一个 “重定向消息”，建议你改走路线 B，这样就能更快地到家。在网络中，ICMP 重定向报文就起着类似交警的作用。比如主机 A 要向主机 B 发送数据，它原本将数据发送给路由器 R1，路由器 R1 发现，对于主机 A 要访问的主机 B，通过路由器 R2 转发会更高效，于是路由器 R1 就会向主机 A 发送 ICMP 重定向报文，告知主机 A 以后可以直接将数据发送给路由器 R2，这样就优化了数据传输的路径，减少了传输时间和网络资源的浪费。

（三）攻击原理：偷梁换柱的 “路由骗局”

然而，ICMP 重定向报文的这种功能却被攻击者恶意利用，成为了实施攻击的 “帮凶”。攻击者通过发送虚假的 ICMP 重定向报文，精心策划一场 “路由骗局”，诱使主机修改路由表，将数据发送到攻击者指定的地址，从而实现数据监听或中间人攻击。
具体来说，攻击者会伪装成合法的路由器，向目标主机发送伪造的 ICMP 重定向报文。报文中包含了错误的路由信息，指示目标主机将原本要发送到正常目的地的数据，发送到攻击者控制的服务器或中间节点。目标主机由于缺乏有效的验证机制，往往会轻信这些虚假信息，不假思索地按照攻击者的指示修改自己的路由表。一旦路由表被篡改，主机发送的数据就会乖乖地沿着攻击者设定的路径传输。攻击者就可以在这个过程中，轻松地监听、窃取数据，甚至对数据进行篡改和伪造，就像一个狡猾的强盗，在中途拦截你的包裹，查看里面的内容，还可能替换掉里面的东西，然后再把包裹继续发送给收件人，而收件人却浑然不知。 这种攻击方式隐蔽性极高，难以被察觉，给网络安全带来了极大的威胁。

三、攻击现场：ICMP redirect 攻击实战演练

（一）攻击环境搭建：准备 “战场”

为了更直观地感受 ICMP redirect 攻击的威力，我们来搭建一个模拟攻击环境。首先，我们需要两台主机，一台运行 Windows 系统，作为我们的目标主机，它就像是一座防守薄弱的城堡，里面存放着各种重要的数据；另一台运行 Kali Linux 系统，作为攻击者的主机，它就像是攻击者的秘密基地，各种攻击工具在这里待命 。为了让这两台主机能够在虚拟网络中相互通信，我们采用桥接模式连接网络，就像是在它们之间搭建了一座桥梁，使得数据能够自由传输。同时，我们还需要在 Kali Linux 主机上安装 netwox 工具包，它是一个功能强大的网络工具集，包含了超过 300 个网络工具，可以用于网络扫描、端口扫描、数据包嗅探、网络流量分析等，在本次攻击中，它将成为我们的 “攻击利器”。

（二）攻击步骤：步步紧逼的 “恶意操作”

一切准备就绪后，我们就可以开始发动攻击了。在 Kali Linux 主机上，打开终端，输入命令下载 netwox 工具包。下载完成后，调用 netwox 工具包中的 86 号工具，这个工具专门用于嗅探和发送 ICMP 重定向报文。输入特定的命令，指定目标主机的 IP 地址、想要让目标主机重定向到的网关以及目标主机的默认网关，就像给敌人的城堡发送了一封假的 “调令”，告诉城堡的守卫改变数据传输的方向。在输入命令时，一定要小心谨慎，确保每个参数都准确无误，否则可能导致攻击失败。当我们按下回车键的那一刻，攻击就正式开始了。netwox 工具会伪装成目标主机的默认网关，向目标主机发送大量的 ICMP 重定向报文，这些报文就像是一个个 “间谍”，悄悄地潜入目标主机，试图篡改它的路由表。

（三）攻击效果呈现：网络瘫痪与数据泄露危机

随着攻击的进行，我们可以看到目标主机的网络连接出现了异常。原本畅通无阻的网络变得拥堵不堪，甚至完全断网，就像一条繁忙的高速公路突然发生了严重的交通事故，车辆无法正常通行。这是因为目标主机的路由表被攻击者篡改，数据被错误地发送到了攻击者指定的地址，导致网络通信中断。更可怕的是，攻击者可以在这个过程中轻松地监听目标主机的数据传输，窃取其中的敏感信息，如账号密码、商业机密等，就像一个小偷在黑暗中悄悄地潜入你的家中，偷走了你最珍贵的财物。这些信息一旦落入攻击者手中，后果不堪设想，可能会给个人、企业甚至国家带来巨大的损失。通过这次实战演练，我们深刻地认识到了 ICMP redirect 攻击的危害性，也更加明白了网络安全防护的重要性。

四、火眼金睛：检测 ICMP redirect 攻击

（一）从网络流量异常入手：流量中的 “异常信号”

在正常的网络环境中，数据的传输就像一条井然有序的高速公路，车辆（数据包）按照既定的规则和路线行驶，ICMP 报文的数量也保持在一个相对稳定的水平。然而，当 ICMP redirect 攻击发生时，这条高速公路就会陷入混乱。攻击者发送的大量虚假 ICMP 重定向报文，就像是突然闯入高速公路的大量违规车辆，使得 ICMP 报文数量急剧增加，打破了原本的稳定状态。同时，数据流向也会出现异常，原本应该发送到正常目的地的数据，被错误地引导到了攻击者指定的地址，就像车辆被错误的导航指引到了一条陌生的小路。
为了及时发现这些异常信号，我们可以借助流量监控工具，Wireshark 就是一个非常强大的网络协议分析工具。使用 Wireshark 时，我们首先要选择正确的网络接口，这就好比选择了观察高速公路的最佳位置。然后点击开始捕获按钮，它就会像一个敏锐的观察者，开始收集网络中的数据包。在捕获过程中，我们可以使用显示过滤器来筛选出我们关注的 ICMP 报文，比如输入 “icmp.type == 5”，就可以只显示 ICMP 重定向报文，这样就能更清晰地观察到攻击的迹象。如果发现 ICMP 报文数量在短时间内大幅增加，或者出现了异常的源 IP 地址和目的 IP 地址，就很有可能是遭受了 ICMP redirect 攻击。

（二）查看系统日志：系统留下的 “攻击痕迹”

除了从网络流量中寻找线索，系统日志也是我们检测 ICMP redirect 攻击的重要依据。操作系统和网络设备就像一个个忠实的记录员，会将发生的各种事件详细地记录在日志文件中，这些日志文件就像是一本本历史书，记录着网络运行的点点滴滴。当 ICMP redirect 攻击发生时，系统日志中会留下一些明显的痕迹。比如，在 Windows 系统中，我们可以通过事件查看器来查看系统日志。在 “应用程序和服务日志” 中，找到 “Microsoft-Windows-TCPIP/Operational”，这里面记录了 TCP/IP 协议相关的事件。如果发现有大量的 ICMP 重定向报文相关的事件，并且这些报文来自于可疑的 IP 地址，那么就需要警惕了。
在路由器的日志中，我们也能找到攻击的蛛丝马迹。不同品牌的路由器查看日志的方式可能略有不同，但一般都可以在管理界面中找到日志查看的选项。比如，Cisco 路由器可以通过命令行输入 “show logging” 来查看日志。日志中可能会出现类似 “Received ICMP redirect from [可疑 IP 地址]” 的记录，这就表明路由器收到了来自可疑源的 ICMP 重定向报文，很可能是遭受了攻击。通过仔细分析这些日志信息，我们能够更准确地判断是否发生了 ICMP redirect 攻击，并了解攻击的来源和影响范围。

（三）使用专业安全工具：安全卫士的 “火眼金睛”

为了更高效、准确地检测 ICMP redirect 攻击，我们还可以借助一些专业的网络安全检测工具，它们就像是网络世界的安全卫士，时刻守护着网络的安全。入侵检测系统（IDS）就是其中的佼佼者，它可以实时监控网络流量，对数据包进行深度分析，通过与预先设定的攻击特征库进行比对，快速识别出 ICMP redirect 攻击等各种网络攻击行为。当检测到攻击时，IDS 会立即发出警报，通知管理员采取相应的措施。
许多防火墙也具备强大的检测功能。它们可以对进出网络的流量进行严格的过滤和检查，不仅能够阻止已知的攻击行为，还能对可疑的流量进行实时监测和分析。比如，一些高级防火墙可以设置规则，当检测到 ICMP 重定向报文的数量超过一定阈值，或者来自特定的不信任源时，就自动触发警报，并采取相应的防御措施，如阻断相关的网络连接，防止攻击进一步扩散。这些专业安全工具就像是我们的得力助手，为我们的网络安全提供了全方位的保障。

五、守护网络：防范 ICMP redirect 攻击策略

在了解了 ICMP redirect 攻击的原理、危害以及检测方法后，接下来我们就要探讨如何有效地防范这种攻击，保护我们的网络安全。就像在现实生活中，我们会采取各种措施来保护自己的财产和安全一样，在网络世界里，我们也需要采取一系列的防范策略，为我们的网络构筑起坚固的防线。

（一）防火墙配置：网络的 “坚固盾牌”

防火墙是网络安全的第一道防线，它就像一座坚固的城堡，守护着网络的入口，阻止未经授权的访问和恶意攻击。合理配置防火墙可以有效地防范 ICMP redirect 攻击。我们可以通过设置访问控制规则，禁止接收来自未知源的 ICMP 重定向报文，就像在城堡的大门前设置了严格的门禁系统，只有经过授权的人才能进入。以常见的防火墙设备为例，在其管理界面中，我们可以找到 “访问控制策略” 或 “规则设置” 等相关选项，然后添加一条规则，源地址选择 “任意”，目的地址选择内部网络地址，协议类型选择 “ICMP”，ICMP 类型选择 “重定向（类型 5）”，动作设置为 “拒绝”。这样，当防火墙接收到来自外部的 ICMP 重定向报文时，就会按照规则将其丢弃，从而防止攻击。
许多防火墙还具备专门的 ICMP 攻击防御功能，我们要确保这些功能处于开启状态。这些功能就像是城堡中的巡逻队，时刻警惕着各种潜在的威胁。它们可以对 ICMP 报文进行深度检测，识别出其中的异常和恶意行为，并及时采取措施进行防范。比如，一些防火墙可以设置 ICMP 报文的速率限制，当单位时间内接收到的 ICMP 重定向报文数量超过设定的阈值时，防火墙就会自动触发警报，并采取相应的防御措施，如阻断相关的网络连接，防止攻击进一步扩散。通过合理配置防火墙，我们能够为网络提供强大的保护，大大降低 ICMP redirect 攻击的风险。

（二）系统设置优化：强化主机的 “自我保护”

除了依靠防火墙，我们还需要对主机的系统设置进行优化，让主机具备更强的 “自我保护” 能力。不同的操作系统有不同的设置方法，下面我们分别来看一下。
在 Linux 系统中，我们可以通过修改系统文件参数来禁用 ICMP 重定向功能。打开终端，使用文本编辑器（如 vi 或 nano）编辑 /etc/sysctl.conf 文件，在文件中添加以下两行内容：net.ipv4.conf.all.accept_redirects = 0 ，net.ipv4.conf.default.accept_redirects = 0 。这两行代码的意思是，禁止系统所有网络接口和默认网络接口接收 ICMP 重定向报文。保存文件后，在终端输入 sysctl -p 命令，使设置立即生效。这样，Linux 系统就不会再受到 ICMP 重定向攻击的影响，就像给主机穿上了一件坚固的铠甲，让攻击者无从下手。
在 Windows 系统中，我们可以通过修改注册表来限制 ICMP 重定向报文的接收。按下 Win+R 键，打开运行对话框，输入 regedit 并回车，打开注册表编辑器。在注册表中找到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 路径，在右侧窗口中找到或新建一个名为 DisableICMPRedirects 的 DWORD 值，将其数据数值设置为 1 。这就告诉 Windows 系统不要接收 ICMP 重定向报文。修改完成后，关闭注册表编辑器即可。通过这种方式，我们可以有效地提高 Windows 系统的安全性，防止 ICMP redirect 攻击对系统造成损害。

（三）网络架构加固：构建安全的 “网络堡垒”

从网络架构层面出发，我们可以采取一系列措施来降低 ICMP redirect 攻击的风险，构建一个坚不可摧的 “网络堡垒”。合理划分网络区域是非常重要的。我们可以将网络划分为不同的子网，如内网、外网、DMZ 区等，并通过防火墙和路由器等设备进行隔离。这样，即使某个区域受到攻击，也能有效地防止攻击扩散到其他区域，就像在城堡中设置了一道道防线，阻止敌人的进攻。
采用多层网络防护也是一种有效的策略。我们可以在网络的不同层次部署不同的安全设备，如防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）等。这些设备相互协作，形成一个全方位的防护体系。防火墙可以阻挡外部的非法访问和攻击，IDS 可以实时监测网络流量，发现潜在的攻击行为，IPS 则可以在攻击发生时及时进行拦截和防御。就像在城堡周围设置了护城河、城墙和岗哨，全方位地保护城堡的安全。
部署冗余网关也能提高网络的可靠性和安全性。当一个网关出现故障或受到攻击时，冗余网关可以自动接管工作，确保网络的正常运行。同时，我们还可以通过配置动态路由协议，如 OSPF（开放式最短路径优先）、BGP（边界网关协议）等，让网络设备能够自动学习和更新路由信息，避免因为静态路由配置错误而导致的网络故障和攻击风险。通过这些网络架构加固措施，我们能够提高网络的整体安全性，让 ICMP redirect 攻击无处遁形。

六、网络安全启示录：警钟长鸣，守护网络家园

ICMP redirect 攻击就像一个隐藏在网络暗处的幽灵，以其隐蔽的手段和巨大的破坏力，时刻威胁着我们的网络安全。它不仅能够导致网络连接中断，使我们的工作和生活陷入混乱，还能在悄无声息中窃取我们的敏感信息，给个人隐私和企业机密带来严重的侵害。一旦企业的核心数据被泄露，可能会面临巨大的经济损失、声誉受损，甚至影响到整个行业的稳定发展。
面对如此严峻的网络安全形势，我们绝不能掉以轻心。防范 ICMP redirect 攻击，不仅是技术人员的责任，更是我们每一个网络使用者的义务。我们要时刻保持警惕，增强网络安全意识，就像在现实生活中要时刻锁好家门，防止小偷入室盗窃一样。在使用网络时，要注意保护个人信息安全，不随意点击来路不明的链接，不轻易在不可信的网站上输入个人敏感信息。同时，要积极采取有效的防范措施，为我们的网络世界构筑起一道坚不可摧的防线。
让我们行动起来，从自身做起，共同关注网络安全，共同维护网络环境的安全和稳定。只有这样，我们才能在网络的海洋中自由遨游，享受互联网带来的便利和乐趣，让网络成为我们生活和工作的有力助手，而不是隐藏着危险的陷阱。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御。