ICMP Unreachable Attack详解：隐形断网攻击、识别方式与全网防护方案(图文)

前言

做运维、站长、网络安全从业者，大概率遇到过这种网络玄学故障：服务器带宽充足、CPU内存空载、防火墙无大流量告警，但网站频繁卡顿、TCP长连接无故断开、SSH/远程连接随机掉线、业务间歇性超时。
排查带宽、端口、程序代码均无异常，90%原因都是遭遇了ICMP Unreachable Attack（ICMP不可达攻击）。
不同于Ping洪水这种大流量显性攻击，ICMP不可达攻击属于低流量、高隐蔽、破坏性极强的隐形DoS攻击，依靠伪造ICMP差错报文误导设备断连，新手运维极难排查。本文全网通俗拆解ICMP不可达攻击定义、Type+Code攻击分类、攻击原理、识别方法、分层防护方案，关键词全覆盖，适配百度收录，可直接收藏落地加固。

一、什么是ICMP Unreachable Attack？

1、基础名词释义

ICMP Unreachable：中文全称ICMP目的不可达报文，固定为ICMP Type3报文，是路由器、网关、防火墙下发的合规网络报错报文，本意告知主机：目标网段/主机/端口无法连通。
ICMP Unreachable Attack：攻击者伪造合法网关、路由器源IP，批量发送虚假Type3不可达报文，欺骗服务器、终端、防火墙判定链路失效，主动断开已建立TCP/UDP业务连接，达成业务中断、拒绝服务的攻击行为。

2、核心攻击特点

 流量极小：单包体积小，不会触发带宽告警、流量阈值告警
 隐蔽性高：报文格式合规，普通WAF、流量监控无法识别恶意伪造包
 针对性强：精准断开网站接口、远程运维、数据库连接等核心业务
 成本极低：借助Scapy、发包工具即可伪造IP批量发起攻击

二、ICMP不可达攻击Code分类（攻击行为一一对应）

所有不可达攻击统一为 ICMP Type3，不同Code对应不同攻击效果，运维抓包直接对照排查：

1. Code0 网络不可达攻击：伪造路由失效报文，误导服务器删除外网路由，全站无法联网
2. Code1 主机不可达攻击：伪造目标主机离线报文，断开数据库、跨服务器对接连接
3. Code2 协议不可达攻击：误导主机关闭TCP/UDP传输协议，全站业务通信失效
4. Code3 端口不可达攻击：高频端口扫描+端口阻断，批量阻断80、443、22、3306业务端口
5. Code4 需要分片DF置1攻击：伪造MTU分片报错，造成数据包丢包、网页加载残缺、接口超时
6. Code13 通信被管理员拒绝攻击：伪装防火墙拦截报文，客户端判定服务被封禁主动放弃连接

三、攻击完整原理：为什么能悄无声息断业务？

1、协议底层机制：操作系统默认无条件信任网关下发的ICMP不可达报文，收到报文后，系统内核会判定链路故障，主动清空TCP会话、终止长连接、缓存路由失效标记；
2、攻击者伪造手段：篡改报文源IP为内网网关、上层路由器可信IP，设备识别为官方运维报错，不会拦截丢弃；
3、攻击闭环：持续批量下发虚假不可达报文，业务反复断线重连，最终网站接口超时、用户访问失败，形成持续性拒绝服务。
重点区分：正常业务不可达 = 真实链路故障；攻击不可达 = IP伪造、报文虚假、链路实际完好。

四、ICMP不可达攻击带来的业务危害

该攻击不属于暴力打带宽攻击，主打精准破坏线上业务，企业站点中招后果严重：
1、Web业务：官网、小程序、APP接口间歇性断开，用户访问报错、下单失败
2、运维管控：22端口SSH、远程桌面随机掉线，无法管理服务器
3、数据交互：数据库主从断开、内网服务互通失败，数据同步中断
4、运维成本：反复排查服务器、线路、防火墙无果，耗费大量人力排查玄学网络故障
5、联动风险：搭配路由重定向报文，可升级为流量劫持、内网嗅探衍生攻击

五、3步快速判断：业务断线是不是遭遇不可达攻击

1、抓包日志核验

防火墙、服务器抓包，短时间大量同源可信IP下发 ICMP Type3 报文，业务断开时间和报文时间完全重合，即可判定攻击。

2、业务特征核验

服务器负载、带宽、端口监听全部正常，ping全网互通正常，仅已建立业务连接随机断开，百分百为ICMP不可达欺骗攻击。

3、内核状态核验

Linux服务器查看内核ICMP报错日志，存在大量bogus虚假报错报文，确认恶意攻击。

六、分层落地防护方案（服务器+防火墙+路由全覆盖）

1、Linux服务器内核加固（根治首选，零成本）

修改系统内核参数，拒绝采信外部虚假ICMP不可达报文，全网通用一键配置：

# 忽略虚假ICMP不可达报错报文，抵御Type3攻击 echo net.ipv4.icmp_ignore_bogus_error_responses=1 >> /etc/sysctl.conf # 关闭外网ICMP路由重定向，杜绝衍生劫持攻击 echo net.ipv4.conf.all.accept_redirects=0 >> /etc/sysctl.conf # 生效内核配置 sysctl -p

2、防火墙/安全组策略拦截

云安全组、硬件防火墙、边界路由器统一配置：
 外网全部拦截：ICMP Type3 所有Code不可达报文
 内网放行：可信运维网段少量不可达报文，保留网络排障能力
 开启URPF反向路由校验，直接丢弃伪造源IP的ICMP报文

3、交换机边界防护

核心交换机关闭外网ICMP差错报文转发，限制单IP每秒ICMP报文数量，限制攻击发包速率。

4、WAF/IDS告警防护

配置规则：单位时间高频Type3报文、网关IP外发不可达报文，直接触发告警并拦截，实时阻断攻击流量。

七、运维高频避坑误区

 误区1：全盘封禁所有ICMP
全部封禁会导致ping探测、路由追踪、MTU链路排障失效，仅拦截Type3不可达报文即可
 误区2：只依靠防火墙防护
报文可变形绕过WAF过滤，必须搭配服务器内核双层防护，才能彻底防御
 误区3：把断线判定为服务商线路问题
近几年同业攻击频发，业务间歇性断线，优先排查ICMP Type3恶意报文
 误区4：老旧系统不加固内核
Centos7、Windows Server老旧系统默认采信不可达报文，受攻击概率大幅更高

八、全文总结

ICMP Unreachable Attack（ICMP不可达攻击）是目前企业网站、政企内网、机房运维最容易被忽视的隐形DoS攻击，依托Type3虚假报文欺骗内核断连，流量隐蔽、排查难度极高。
防护核心逻辑：内核拒绝虚假报文+边界拦截Type3流量+反向路由校验溯源，不用封禁全部ICMP，兼顾网络排障功能与业务安全，彻底解决无故断线、接口超时、业务抖动问题。
#ICMP不可达攻击 #ICMPUnreachable #网络攻击防护 #运维干货 #服务器安全 #网络排障 #DoS攻击防御 #内网安全 #站长运维 #网络协议安全

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御