ICMP 协议：网络通信的 “信使”

在深入探讨 ICMP 不可达攻击之前，我们先来认识一下 ICMP 协议。ICMP，即 Internet Control Message Protocol，互联网控制消息协议 ，是 TCP/IP 协议族的一个重要子协议，工作在网络层，主要用于在 IP 主机、路由器之间传递控制消息和错误报告，是网络管理和故障排除的得力助手。
我们日常使用的 ping 命令，就是 ICMP 协议的典型应用场景。当我们在命令行中输入 “ping [目标 IP 地址或域名]” 时，实际上是在向目标主机发送 ICMP Echo Request（回显请求）报文，目标主机收到后会返回 ICMP Echo Reply（回显应答）报文。通过这个往返过程，我们可以判断目标主机是否可达、网络延迟情况以及丢包率等信息，以此来评估网络的连通性和质量。比如，当你玩网络游戏卡顿，怀疑网络有问题时，就可以用 ping 命令测试一下到游戏服务器的连接状况 。
除了 ping 命令用到的回显请求与应答报文，ICMP 还有其他常见的消息类型。例如，Destination Unreachable（目的地不可达）报文，当路由器无法将数据包转发到目标地址时，就会向源主机发送该类型报文，告知源主机目标不可达的原因，如网络不可达、主机不可达、端口不可达等；Time Exceeded（超时）报文，当数据包在网络中传输时，每经过一个路由器，其 TTL（Time to Live，生存时间）值就会减 1，若 TTL 值减为 0 时数据包仍未到达目标地址，路由器就会向源主机发送超时报文 。这些不同类型的 ICMP 报文，就像是网络世界里的 “信使”，传递着各种重要的网络状态信息，让网络设备之间能够 “沟通”，从而保障网络的正常运行。

ICMP 不可达攻击：黑客的 “暗箭”

（一）攻击原理大起底

ICMP 不可达攻击，就如同黑客在网络世界中射出的一支 “暗箭”，悄无声息却能对网络通信造成严重的破坏。它利用 ICMP 协议的正常机制，精心构造并发送伪造的 ICMP 不可达消息，使目标系统产生错误的判断，误以为某些路径或主机不可达，进而干扰甚至中断正常的网络通信 。
在 ICMP 不可达攻击中，常见的被攻击者利用的消息类型有以下几种：

• 网络不可达（Network Unreachable，Type 3, Code 0）：攻击者发送伪造的网络不可达消息，就像在目标主机通往特定网络的道路上设置了一块 “此路不通” 的虚假路牌。目标主机收到该消息后，会信以为真，认为目标网络不存在或无法访问，从而放弃发送数据，导致通信无法进行 。比如，在企业网络与外部合作伙伴进行数据交互时，若攻击者伪造网络不可达消息，企业就无法与合作伙伴通信，业务合作也会因此受阻。
• 主机不可达（Host Unreachable，Type 3, Code 1）：攻击者伪装成合法设备，向目标主机发送主机不可达的消息，就如同告诉目标主机对方主机 “失联” 了。这会使目标主机认为对方主机离线、死机或不可达，进而中断与该主机的通信 。以在线游戏为例，玩家在游戏过程中，如果遭受主机不可达攻击，就会与游戏服务器断开连接，游戏体验被严重影响。
• 协议不可达（Protocol Unreachable，Type 3, Code 2）：这种攻击利用目标主机对特定协议的支持情况。攻击者发送伪造消息，声称目标主机不支持所请求的协议，就像是在通信双方之间竖起了一道 “协议壁垒”，导致目标主机放弃使用该协议进行通信 。比如，在一个基于特定应用协议的通信场景中，攻击者发送协议不可达消息，使双方无法按照预定协议进行数据传输，业务也就无法正常开展。
• 端口不可达（Port Unreachable，Type 3, Code 3）：攻击者通过发送伪造的端口不可达消息，让目标主机认为目标主机上的目标端口未开放，这就好比把目标主机上通信的 “大门” 给关上了，从而终止通信尝试 。在 Web 服务中，攻击者发送端口不可达消息，使客户端无法连接到 Web 服务器的特定端口，网站也就无法被访问。

（二）攻击步骤全解析

ICMP 不可达攻击一般分为以下几个步骤：

1. 捕获合法数据包：攻击者就像潜伏在网络暗处的 “间谍”，使用网络嗅探工具，对网络流量进行监控和分析 。他们仔细观察目标主机的通信，捕获其合法通信数据包。这些数据包包含了源 IP 地址、目的 IP 地址、端口号等关键通信信息，为后续的攻击提供了 “弹药” 。例如，攻击者可能在一个企业网络中，通过嗅探工具获取到企业内部主机与外部服务器通信的数据包。
2. 伪造 ICMP 不可达消息：攻击者根据捕获到的数据包信息，开始精心构造虚假的 ICMP 不可达消息 。他们伪装成合法的路由器或中间设备，在消息中声称某个路径或主机不可达 。为了增加欺骗性，攻击者还会伪造消息的源 IP 地址，使其看起来像是来自可信的设备 。比如，攻击者可能将源 IP 地址伪装成企业网络中的核心路由器地址，让目标主机误以为消息是来自内部的重要设备。
3. 发送伪造消息：攻击者将伪造好的 ICMP 不可达消息混入正常的网络流量中，发送给目标主机 。由于这些消息伪装得很巧妙，目标主机在接收时往往难以分辨其真伪 。目标主机收到伪造消息后，会按照 ICMP 协议的规则进行处理，误以为某些路径或主机不可达，进而调整自身的网络配置或中断通信，最终导致通信异常，无法正常进行数据传输和交互 。

现实中的攻击场景

（一）企业网络：业务中断的噩梦

在当今数字化高度发展的时代，企业的运营越来越依赖于稳定的网络通信。一旦遭受 ICMP 网络不可达攻击，企业与供应商之间的通信可能会被突然切断。假设一家制造企业，其生产线上的原材料需要按时从供应商处采购并运输。当企业准备向供应商发送采购订单或查询货物运输状态时，攻击者发送伪造的网络不可达消息，企业的网络设备收到消息后，误以为通往供应商的网络路径出现故障，便停止发送相关数据。这不仅导致采购订单无法及时传达，还可能使企业因原材料供应不及时而被迫停产，造成生产延误，进而影响产品交付，损害企业的商业信誉，带来直接和间接的经济损失 。

（二）在线游戏：玩家体验的杀手

对于在线游戏玩家来说，流畅的游戏体验至关重要。然而，主机不可达攻击却常常成为破坏这种体验的 “杀手”。想象一下，你正在沉浸式地玩一款热门的多人在线竞技游戏，在激烈的对战中，突然屏幕上弹出 “与服务器断开连接” 的提示，无论你怎么尝试重新连接，都无法再次进入游戏。这很可能就是遭受了主机不可达攻击。攻击者通过伪造主机不可达消息，让你的游戏客户端误以为游戏服务器出现故障或离线，从而中断连接 。这种攻击不仅会让你在游戏中 “掉线”，错失比赛机会，还可能导致游戏积分损失、影响游戏排名，久而久之，玩家对游戏的满意度和忠诚度也会大幅下降，对游戏运营方的声誉和收益造成负面影响 。

（三）Web 服务：网站访问的障碍

在互联网时代，Web 服务是企业展示形象、提供服务的重要窗口。但端口不可达攻击却能轻易地让这个窗口 “关闭”。以一家电商网站为例，当用户在购物高峰期访问该网站，准备购买心仪的商品时，攻击者发送伪造的端口不可达消息，使客户端无法连接到网站服务器的特定端口。用户在浏览器中输入网址后，只能看到 “无法访问此网站” 的提示页面，购物流程无法继续。这不仅会导致用户放弃购买，造成电商企业的直接销售损失，还可能使企业失去潜在客户，损害品牌形象，在竞争激烈的市场中处于不利地位 。

如何识别 ICMP 不可达攻击

（一）关注异常流量

在网络中，正常情况下 ICMP 不可达消息的流量是相对稳定且处于合理范围之内的。一旦遭受 ICMP 不可达攻击，网络流量会出现明显的异常波动 。通过专业的网络流量监控工具，如 Snort、Suricata 等，我们可以实时监测网络中 ICMP 不可达消息的流量变化 。当发现短时间内 ICMP 不可达消息的数量急剧增加，远远超出正常的流量阈值时，这很可能就是遭受攻击的信号 。比如，平时每小时 ICMP 不可达消息的数量在几十条左右，而突然在几分钟内就飙升到数千条，这种异常的流量增长就需要我们高度警惕 。

（二）检查源 IP 的可信度

在 ICMP 不可达攻击中，攻击者往往会伪造消息的源 IP 地址，以增加攻击的隐蔽性和欺骗性 。因此，判断 ICMP 消息源 IP 的可信度至关重要 。我们可以通过查看网络拓扑结构和路由表，了解网络中各个设备的 IP 地址分配情况，判断源 IP 是否属于本网络内的合法设备 。如果发现 ICMP 不可达消息的源 IP 来自一个陌生的、不属于本网络的地址，或者与网络拓扑结构不匹配，那就很有可能是攻击者伪造的消息 。例如，企业内部网络中突然收到一个源 IP 为外部公共网络地址的 ICMP 不可达消息，声称企业内部某台主机不可达，这显然不符合正常的网络通信逻辑，极有可能是攻击行为 。

（三）留意通信中断现象

ICMP 不可达攻击的目的之一就是中断正常的网络通信。当我们发现网络通信突然中断，无法建立连接，或者频繁出现连接超时的情况时，除了检查网络设备、线路等常规因素外，还应考虑是否遭受了 ICMP 不可达攻击 。比如，在访问某个重要的业务系统时，之前一直能够正常访问，突然就无法连接，并且持续一段时间都无法恢复，同时网络中没有其他明显的故障迹象，这时就需要深入排查是否存在 ICMP 不可达攻击 。此外，还可以通过抓包分析工具，如 Wireshark，捕获网络数据包，查看其中是否存在异常的 ICMP 不可达消息，进一步确认是否遭受攻击 。

防范 ICMP 不可达攻击的策略

面对 ICMP 不可达攻击的威胁，我们不能坐以待毙，必须采取有效的防范策略，构建起坚固的网络安全防线 。

（一）流量过滤：把好网络入口关

在网络边界部署防火墙是防范 ICMP 不可达攻击的重要手段之一 。防火墙就像是网络的 “门卫”，可以根据预先设定的规则，对进出网络的流量进行严格的过滤和检查 。我们可以配置防火墙规则，阻止来自未知或不可信源 IP 地址的 ICMP 不可达消息进入网络 。例如，在企业网络中，通过防火墙设置访问控制列表（ACL），只允许内部网络设备之间以及与已知合法外部服务器之间的 ICMP 通信，拒绝其他来源的 ICMP 不可达消息 。入侵检测系统（IDS）和入侵防御系统（IPS）也是流量过滤的得力助手 。IDS 能够实时监测网络流量，一旦发现异常的 ICMP 不可达消息流量，如短时间内大量来自同一源 IP 的不可达消息，就会及时发出警报 ；IPS 则更加强大，不仅能检测到攻击行为，还能主动采取措施进行阻断，直接将伪造的 ICMP 不可达消息拦截在网络之外，保护网络的安全 。

（二）消息验证：给 ICMP 消息验真伪

为了确保接收到的 ICMP 消息的合法性，我们可以在网络设备和主机上配置验证机制 。首先，要仔细检查 ICMP 消息的源 IP 地址是否可信 。通过维护一份可信 IP 地址列表，与接收到的 ICMP 消息源 IP 进行比对，若源 IP 不在列表中，就需要提高警惕 。同时，还应验证消息中的原始数据包头部信息是否与实际通信情况一致 。比如，检查 ICMP 不可达消息中声称不可达的目标 IP 地址、端口号等信息，是否与网络中正在进行的通信相符 。如果发现信息不一致，很可能是伪造的消息，应及时丢弃 。此外，一些高级的网络设备还支持使用数字签名等技术对 ICMP 消息进行验证，进一步增强消息的可信度和安全性 。

（三）限制响应：给攻击设道 “闸”

限制系统对 ICMP 消息的响应数量是防范 ICMP 不可达攻击的又一有效措施 。我们可以通过修改操作系统的参数或使用防火墙规则来实现这一目的 。在 Linux 系统中，可以通过修改 “/etc/sysctl.conf” 文件中的相关参数，如 “net.ipv4.icmp_echo_ignore_all”（设置为 1 时，系统将忽略所有 ICMP Echo 请求）或 “net.ipv4.icmp_ignore_bogus_error_responses”（设置为 1 时，系统将忽略伪造的 ICMP 错误响应），来限制对 ICMP 消息的响应 。在防火墙配置中，也可以设置规则，限制单位时间内对 ICMP 消息的响应次数 。例如，设置每分钟最多响应 100 次 ICMP 不可达消息，超出这个阈值的消息将被丢弃 。这样可以有效防止攻击者通过发送大量伪造的 ICMP 消息，耗尽系统资源，导致正常的网络通信受到影响 。

（四）实时监控：时刻紧盯网络动态

定期监控和分析网络流量是及时发现 ICMP 不可达攻击迹象的关键 。我们可以使用专业的网络流量分析工具，如 SolarWinds Network Performance Monitor、PRTG Network Monitor 等，实时监测网络中 ICMP 流量的变化情况 。通过设定合理的流量阈值，当 ICMP 不可达消息的流量超出正常范围时，工具会自动发出警报 。同时，对捕获到的网络数据包进行深入分析，查看 ICMP 消息的类型、源 IP 地址、目的 IP 地址等信息，判断是否存在异常 。例如，如果发现大量来自同一个源 IP 地址的不同类型的 ICMP 不可达消息，且这些消息的目的 IP 地址涉及多个不同的主机，就很可能是遭受了攻击 。及时发现攻击迹象后，我们可以迅速采取相应的措施进行处理，如阻断攻击源、调整网络配置等，将攻击的影响降到最低 。

总结

ICMP 不可达攻击，利用 ICMP 协议的正常机制，通过伪造不可达消息，对网络通信造成严重干扰和破坏，在企业网络、在线游戏、Web 服务等领域都带来了极大的危害，影响业务的正常开展，损害用户体验和企业声誉 。
面对这一威胁，我们必须保持警惕，掌握识别攻击的方法，如关注异常流量、检查源 IP 可信度、留意通信中断现象等 。同时，要采取有效的防范策略，通过流量过滤、消息验证、限制响应、实时监控等措施，构建起坚固的网络安全防线 。
网络安全是一场没有硝烟的战争，需要我们每一个人、每一个组织共同努力。希望大家都能重视网络安全，积极学习网络安全知识，提高防范意识，共同守护我们的网络家园，让网络世界更加安全、稳定、有序 。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御