揭秘“死亡之Ping”：流量型攻击的前世今生与防御指南(图文)

一、Ping of Death 是什么？—— 从 ICMP 协议说起

在网络世界里，Ping of Death 就像是隐藏在黑暗中的 “幽灵”，随时可能对网络安全发起致命一击。想要彻底了解这个危险的攻击手段，我们得先从它所依赖的 ICMP 协议说起。

（一）ICMP 协议：网络的 “信使” 与 “漏洞”

ICMP，即网际控制报文协议（Internet Control Message Protocol），是 TCP/IP 协议族中不可或缺的重要成员，如同网络世界里不知疲倦的 “信使”，肩负着在主机和路由器之间传递网络状态信息的重任。我们日常使用的 Ping 命令，就是 ICMP 协议最常见的应用之一。当你在命令行中输入 “ping [目标 IP 地址]” 时，背后其实是 Ping 命令通过 ICMP 回显请求（类型 8）和应答（类型 0）报文，在你的设备和目标主机之间进行着一场信息的 “一问一答”，以此来检测网络的连通性和响应时间。例如，当你 ping 百度的服务器时，你的电脑会发送 ICMP 回显请求报文，百度的服务器收到后会返回 ICMP 回显应答报文，这样你就能知道自己的网络是否能正常连接到百度，以及连接的速度如何。
然而，ICMP 协议这种 “开放性” 的设计，虽然为网络的管理和诊断提供了便利，却也给攻击者留下了可乘之机。攻击者就像狡猾的黑客，善于利用 ICMP 报文的特性，精心构造异常流量，发动 Ping of Death 攻击，让原本正常运行的网络陷入瘫痪。

（二）攻击原理：用 “超重” 数据包淹没系统

根据 TCP/IP 协议的规范，单个 IP 数据包的最大长度被限定为 65535 字节，这就像是给网络传输设定了一个 “重量限制”。但 Ping of Death 攻击却像是一个恶意的 “超重快递员”，攻击者通过精心设计，发送分片后总长度超过这个限制的 ICMP 数据包，比如一个 65500 字节的超大 Ping 包。
当目标主机收到这些 “超重” 的数据包分片时，就像一个不堪重负的搬运工，需要花费大量的时间和资源来进行重组。然而，由于这些数据包的异常大小，往往会导致目标主机在重组分片的过程中发生内存溢出错误，就像一个被撑破的气球，最终使得 TCP/IP 堆栈崩溃。一旦 TCP/IP 堆栈崩溃，目标主机就如同失去了神经系统的人体，无法正常处理网络请求，出现死机、重启或陷入拒绝服务的困境，导致正常的网络服务无法提供，给用户和企业带来严重的影响。

二、从 “系统杀手” 到 “流量威胁”：Ping of Death 的危害演进

Ping of Death 的危害随着时间的推移和技术的发展不断演进，从早期让设备瞬间瘫痪的 “系统杀手”，逐渐演变成在现代网络环境中带来复杂威胁的 “流量破坏者”。

（一）早期 “致命” 影响：让设备瞬间瘫痪

在互联网发展的早期阶段，Ping of Death 堪称网络世界里的 “致命武器”，其攻击所到之处，大量设备纷纷陷入瘫痪，造成了极为严重的影响。那时的 Windows 95/98 以及早期版本的 Linux，由于缺乏完善的分片校验机制，就像没有坚固盾牌的士兵，在面对 Ping of Death 攻击时毫无招架之力。一旦收到超大 Ping 包，系统就如同遭遇了强烈的冲击，瞬间陷入崩溃的绝境。
1996 年，Ping of Death 首次爆发，就像是一颗重磅炸弹在网络世界中引爆，让整个互联网都为之颤抖。大量的服务器和个人电脑在这场攻击中纷纷中招，就像多米诺骨牌一样接连倒下，陷入瘫痪状态。它们无法正常处理用户的请求，网络服务中断，数据传输停滞，给企业和个人带来了巨大的损失。许多企业的业务因为网络瘫痪而无法正常开展，造成了经济上的重大损失；个人用户也无法正常使用网络，导致工作、学习和生活受到极大的影响。这次攻击不仅让人们深刻认识到了网络安全的重要性，也成为了早期 DDoS 攻击的 “雏形”，为后来更加复杂和多样化的网络攻击埋下了伏笔。

（二）现代风险：资源耗尽与漏洞利用

随着技术的不断进步，现代操作系统如 Windows 10、Linux 内核 2.4 + 等，就像升级了装备的战士，已经修复了基础漏洞，大大提高了对 Ping of Death 攻击的防御能力。然而，攻击者就像狡猾的狐狸，并没有因此而放弃，他们不断寻找新的攻击方式，试图绕过这些防御机制，给网络安全带来新的威胁。

1. 流量洪水：攻击者利用技术手段，在短时间内发送海量的 ICMP 包，这些数据包就像汹涌的洪水一样，瞬间淹没了网络带宽和 CPU 资源。当网络带宽被大量占用时，正常的网络请求就无法得到及时处理，导致网络速度变慢甚至完全中断，就像一条被堵塞的高速公路，车辆无法正常通行。而 CPU 资源被耗尽后，设备就无法正常运行各种程序，陷入卡顿甚至死机的状态，就像一个过度劳累的人，身体无法承受而倒下。这种流量洪水攻击，会引发拒绝服务，使得正常的网络服务无法提供，给用户和企业带来极大的不便。

2. 漏洞变种：攻击者还会结合一些新的机制缺陷，如 SACK（选择性确认）等，制造出漏洞变种攻击。以 CVE - 2022 - 11477 漏洞为例，攻击者利用这个漏洞，绕过部分防御系统，就像一个潜入城堡的间谍，在不被察觉的情况下对设备发动攻击。这种攻击会导致设备性能骤降，原本运行流畅的设备变得迟缓，响应时间大幅增加，影响用户的正常使用体验。企业的业务系统也会因为设备性能下降而无法高效运行，影响业务的正常开展，给企业带来经济损失。

三、三层防御体系：从设备到网络的全方位防护

面对 Ping of Death 攻击的威胁，我们不能坐以待毙，必须构建起一套全方位、多层次的防御体系，从设备层、网络层到管理运维，每一个环节都至关重要，缺一不可。只有这样，我们才能在这场网络安全的保卫战中，有效地抵御攻击，保障网络的稳定运行。

（一）设备层：筑牢系统 “第一道防线”

设备层作为网络防御的最前沿阵地，其安全防护至关重要。我们可以通过操作系统加固和防火墙配置，为设备打造一个坚固的 “铠甲”，抵御 Ping of Death 攻击的威胁。

1. 操作系统加固

• • Windows：Windows 系统的用户可以通过启用 “路由与远程访问” 服务，为系统设置 ICMP 输入筛选功能，从而有效地拒绝所有类型的 ICMP 数据包。具体操作步骤如下：首先，打开 “管理工具”，找到 “路由与远程访问” 并启动设置向导；然后，在向导中选择 “手动配置服务器”，稍等片刻后，系统会提示是否启动服务，点击 “是” 即可；服务启动后，在计算机名称的分支下找到 “IP 路由选择”，展开分支后点击 “常规”，在右边找到要配置的网络连接，右键点击选择 “属性”；在弹出的网络连接属性窗口中，点击 “输入筛选器” 按钮，在弹出的 “添加筛选器” 窗口中，点击 “添加” 按钮，在 “协议” 下拉列表中选择 “ICMP”，并在 “ICMP 类型” 和 “ICMP 编码” 中均输入 “255”，代表所有的 ICMP 类型及其编码，最后点击 “确定” 保存设置。这样，当有 ICMP 数据包试图进入系统时，就会被系统拒绝，从而有效地保护了系统的安全。

• • Linux：Linux 系统的用户则可以通过修改内核参数来禁用 ICMP 重定向，增强系统的安全性。具体操作是在终端中以 root 用户身份登录，然后编辑 /etc/sysctl.conf 文件，在文件末尾添加 “net.ipv4.icmp_accept_redirects = 0” 这一行代码，即可禁止所有接口接受 ICMP 重定向。修改完成后，使用 “sysctl -p” 命令使更改生效。此外，为了限制 ICMP 流量速率，还可以通过 iptables 规则来实现。例如，使用 “iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 10/s -j ACCEPT” 这条命令，就可以将 ICMP 回显请求的速率限制为每秒 10 个，当流量超过这个限制时，多余的数据包将被丢弃，从而有效地防止了 ICMP 流量的过载。需要注意的是，禁用 ICMP 重定向可能会对网络性能和路由决策产生一定的影响，因此在操作时应该谨慎考虑，并根据实际情况进行调整。

2. 防火墙配置

• • 状态检测防火墙：启用状态检测防火墙是一种有效的防御手段。它能够智能地跟踪网络连接的状态，动态地允许外出数据包的响应信息进入防火墙所保护的网络。以 Ping 命令为例，当我们使用 Ping 命令发送 ICMP 回显请求（Echo Request）时，状态检测防火墙会记录下这个请求，并在接下来的一个确定的时间段内，允许目标主机响应的 ICMP 回显应答（Echo Reply）直接发送给发出 Ping 命令的 IP。而对于其他不符合这个规则的 ICMP 数据包，比如异常的目标不可达、超时消息等，防火墙会果断地将其阻断，从而有效地防止了攻击者利用这些异常数据包进行攻击。

• • 硬件防火墙：在企业级场景中，面对更为复杂和严峻的网络安全威胁，部署支持 ICMP 包大小过滤和速率限制的硬件防火墙显得尤为重要。这种硬件防火墙就像一位忠诚的卫士，能够实时地对网络流量进行监控和分析。当它检测到有超过 64KB 的分片包时，会立即采取行动，将这些异常的数据包阻断在网络之外。同时，它还可以根据企业的实际需求，对 ICMP 流量进行精细的控制，设置合理的速率限制，确保网络的正常运行，避免因 ICMP 流量过大而导致网络拥塞或瘫痪。

（二）网络层：流量清洗与边界管控

网络层作为网络防御的关键环节，承担着流量清洗与边界管控的重要职责。我们可以通过路由器限流和 DDoS 防护等措施，有效地抵御 Ping of Death 攻击，保障网络的稳定运行。

1. 路由器限流

在边界路由器上配置 QoS（服务质量）策略，是一种有效的限制 ICMP 流量的方法。通过将 ICMP 流量占比限制在总带宽的 1%-5%，可以避免单一协议流量过载，确保网络的正常运行。例如，在某些企业网络中，通过配置 QoS 策略，将 ICMP 流量限制在总带宽的 3% 以内，即使遭受 Ping of Death 攻击，ICMP 流量也不会对网络造成太大的影响，其他重要的网络业务仍然能够正常开展。具体的配置方法会因路由器的品牌和型号而异，但一般来说，都可以在路由器的管理界面中找到 QoS 配置选项，然后根据实际需求设置 ICMP 流量的限制参数。

2. 分布式拒绝服务（DDoS）防护

接入高防 IP 或云防护服务，是应对 Ping of Death 攻击的一种强大手段。这些服务提供商拥有专业的技术和丰富的经验，能够利用先进的流量清洗技术，实时地识别并拦截异常的 ICMP 包。当攻击发生时，高防 IP 或云防护服务会将恶意流量引流到自己的清洗中心，对流量进行清洗和过滤，只将正常的流量转发给目标服务器。同时，这些服务还可以隐藏真实服务器的 IP 地址，使攻击者难以直接攻击到服务器，从而大大降低了攻击的针对性和危害性。许多大型网站和在线服务平台都采用了高防 IP 或云防护服务，有效地抵御了各种 DDoS 攻击，保障了服务的稳定运行。

（三）管理与运维：主动防御优于被动响应

管理与运维在网络安全防御中起着至关重要的作用，主动防御的理念应贯穿于整个网络管理的过程中。通过定期漏洞扫描与补丁更新，以及流量监控与应急响应等措施，我们可以提前发现并解决潜在的安全问题，在攻击发生时迅速做出反应，最大限度地减少损失。

1. 定期漏洞扫描与补丁更新

及时修复操作系统和网络设备的 ICMP 处理漏洞，是防范 Ping of Death 攻击的重要措施。以 CVE - 2022 - 11477 漏洞为例，这是一个在 ICMP 处理过程中存在的安全漏洞，攻击者可以利用这个漏洞绕过部分防御系统，对设备发动攻击。因此，我们需要密切关注安全漏洞信息，及时获取并安装相关的补丁，修复系统中的漏洞。同时，关闭不必要的 ICMP 响应功能，如禁用公网 IP 的 Ping 应答，也可以减少攻击面，降低被攻击的风险。许多企业都建立了定期的漏洞扫描和补丁更新机制，每周或每月对系统进行一次全面的扫描，及时发现并修复漏洞，确保系统的安全性。

2. 流量监控与应急响应

通过 Wireshark、Nagios 等工具实时监控 ICMP 流量，能够及时发现异常情况。当发现 ICMP 流量异常激增时，系统会自动触发熔断机制，如临时阻断来源 IP，防止攻击进一步扩散。同时，结合威胁情报定位攻击源，能够为后续的处理提供有力的支持。例如，当 Wireshark 捕获到大量异常的 ICMP 数据包时，管理员可以通过分析数据包的特征和来源，利用威胁情报数据库，快速定位到攻击源，并采取相应的措施进行处理，如向相关部门报告、与网络服务提供商合作等，以彻底解决攻击问题。

四、Ping of Death 的 “今生”：从 “经典” 到 “进化”

Ping of Death 虽然是一种较为古老的攻击手段，但在现代网络环境中，它并没有销声匿迹，而是不断进化，以新的形式给网络安全带来威胁。

（一）技术迭代下的攻击变形

随着网络技术的不断发展，Ping of Death 攻击也在不断演变。现代攻击者往往不会单纯地使用 Ping of Death 这一种攻击方式，而是将其与其他攻击手段相结合，形成更为复杂和强大的混合型 DDoS 攻击。
他们会把 Ping of Death 与 SYN Flood、UDP Flood 等攻击方式结合起来，利用多种协议的特点，同时对目标网络的带宽和系统资源发起攻击。例如，攻击者在发送超大 Ping 包的同时，还会发送大量的 SYN 包和 UDP 包，使得目标网络既要处理异常的 ICMP 数据包，又要应对 TCP 连接请求和 UDP 流量的冲击。这样一来，目标网络的带宽会被迅速耗尽，系统资源也会被大量占用，从而导致网络瘫痪，无法正常提供服务。这种混合型攻击方式就像一场精心策划的多维度战争，让防御者难以招架，大大增加了防御的难度。

（二）案例警示：漏洞设备的 “蝴蝶效应”

2022 年，某知名物联网厂商就遭遇了一场因 Ping of Death 攻击引发的严重事故。该厂商的一些旧设备由于未禁用 ICMP 协议，被攻击者发现了这一漏洞。攻击者利用这个漏洞，向这些设备发送了大量的超大 Ping 包。这些设备在接收到这些异常数据包后，由于无法正确处理，导致固件崩溃。
而这些设备又与其他智能设备相互关联，形成了一个庞大的物联网系统。因此，这一小部分设备的故障就像引发了一场 “蝴蝶效应”，最终导致上千台智能设备集体离线。这不仅给用户带来了极大的不便，也对该物联网厂商的声誉造成了严重的损害。这个案例充分表明，即使在物联网时代，基础协议的安全配置依然是至关重要的。一个小小的疏忽，就可能引发严重的安全事故，给企业和用户带来巨大的损失。

五、总结：守护网络安全，从 “小包” 抓起

Ping of Death，这个从网络发展早期就存在的攻击手段，见证了网络安全领域的无数次攻防较量。它的演变史，本质上就是一部网络安全攻防的生动缩影，从最初利用单一协议漏洞发起攻击，到如今与其他攻击方式结合形成复合攻击，从单纯地 “杀死” 单台设备，到具备瘫痪整个网络的能力，其危害程度不断升级，攻击方式也日益复杂。
在这个数字化时代，网络安全已经成为了我们生活和工作中不可或缺的一部分。对于个人用户而言，虽然 Ping of Death 攻击可能不像其他一些新型攻击手段那样频繁，但我们也不能掉以轻心。关闭不必要的 Ping 响应，就像是关上了一扇可能被攻击者利用的门，减少了被攻击的风险；启用防火墙，则如同为我们的设备筑起了一道坚固的防线，能够有效地抵御各种网络攻击，保护我们的个人信息和设备安全。
而对于企业来说，网络安全更是至关重要。企业的网络中往往存储着大量的商业机密、客户信息等重要数据，一旦遭受 Ping of Death 这样的攻击，可能会导致业务中断、数据泄露等严重后果，给企业带来巨大的经济损失和声誉损害。因此，企业需要构建一套全方位、多层次的 “设备 - 网络 - 管理” 立体防御体系，从设备层的系统加固和防火墙配置，到网络层的流量清洗与边界管控，再到管理层的漏洞扫描、补丁更新以及流量监控与应急响应，每一个环节都紧密相连，缺一不可。只有这样，企业才能在复杂多变的网络环境中，有效地防范 Ping of Death 攻击以及其他各种网络威胁，确保网络的稳定运行，保障企业的正常发展。
网络安全是一场没有硝烟的战争，Ping of Death 只是其中的一个缩影。我们每个人都应该提高网络安全意识，采取有效的防范措施，共同守护我们的网络家园，让网络世界更加安全、稳定、有序。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御