前言
在网络安全运维、DDoS防护、企业边界加固场景中,
ICMP不可达攻击是非常典型、却最容易被忽略的隐形四层攻击。很多站长、网工只重视Ping洪水、UDP Flood、CC攻击,却忽视了ICMP目的不可达报文带来的深层风险。
不同于直接打满带宽的暴力攻击,ICMP不可达攻击属于
协议欺骗型DoS攻击,无需超大流量,仅通过伪造恶意ICMP 3类不可达报文,即可误导路由、中断正常TCP/UDP业务、造成业务随机掉线、访问间歇性故障,排查难度极高。
本文通俗详解
ICMP不可达攻击原理、攻击特征、真实危害、快速自查方法、企业全套防御策略,全文SEO优化适配百度收录,结构清晰、可直接落地加固,适合运维、网安、站长收藏学习。
一、什么是ICMP不可达攻击?
ICMP不可达攻击,全称
ICMP目的不可达报文欺骗攻击,核心利用ICMP协议无认证、可伪造的漏洞。攻击者批量伪造
ICMP Type3(目的不可达) 报文,冒充网关、路由设备向服务器、终端发送虚假端口不可达、主机不可达、网络不可达报文。
正常网络中,ICMP不可达报文是网络“报错提示”:访问不存在端口、无效网段时,网关返回不可达提示,辅助主机终止无效连接。
而攻击场景下,攻击者
人为伪造虚假报错报文,让服务器误判合法业务端口、链路、主机失效,主动断开正常业务连接,实现低成本拒绝服务攻击。
二、ICMP不可达攻击核心原理
想要彻底防护,必须看懂底层欺骗逻辑,整个攻击流程分为4步:
1、ICMP协议本身
无身份校验、无签名机制,任何主机均可伪造网关、路由IP发送报文;
2、攻击者伪造目标业务对应的
端口不可达、主机不可达、分片不可达ICMP报文;
3、服务器/终端接收报文后,系统内核默认信任ICMP报错,判定当前TCP/UDP链路失效;
4、主动强行断开正常业务连接、清空路由缓存、终止会话,导致用户掉线、接口超时、业务卡顿。
该攻击最大特点:
流量极小、无带宽占用、内核级断连、极难溯源,普通流量监控完全看不出攻击痕迹。
三、ICMP不可达报文常见类型(攻击高频)
ICMP Type3 不可达报文细分多个代码,也是攻击者主要利用的类型:
- Code 0 网络不可达:误导主机目标网段不存在,阻断全网外联
- Code 1 主机不可达:误导目标服务器离线,断开点对点业务连接
- Code 3 端口不可达:最高频攻击,伪造业务端口关闭,强制断开TCP/UDP业务会话
- Code 4 需要分片但DF位禁止:篡改MTU协商,导致数据包分片异常、业务丢包卡顿
四、ICMP不可达攻击真实业务危害
很多企业莫名出现业务间歇性故障,排查无果,大概率是该攻击导致,核心危害如下:
- 业务随机掉线:网站、接口、游戏、UDP业务频繁断开重连
- TCP会话异常中断:正常用户连接被内核强制销毁,无日志记录
- MTU路径探测被篡改:数据包分片异常,出现卡顿、丢包、传输不全
- 路由缓存错乱:服务器误判路由失效,导致全网访问波动
- 运维排查困难:无大流量、无攻击日志、带宽正常,仅业务异常
- 叠加DDoS放大危害:配合UDP Flood、SYN攻击,彻底打垮业务稳定性
五、如何快速自查是否遭受ICMP不可达攻击?
分享运维现场零门槛排查方法,精准定位隐形攻击:
1、业务特征判断
服务器带宽正常、CPU正常、无CC/UDP大流量,但是
业务频繁间歇性断连、随机掉线、接口超时,基本判定存在ICMP协议欺骗攻击。
2、抓包精准验证
使用 TCPDump、Wireshark 过滤报文:
过滤规则:
icmp && icmp.type == 3如果短时间内出现大量
陌生IP、虚假网关IP发送的不可达报文,即为典型ICMP不可达攻击。
3、设备日志排查
查看防火墙、边界路由日志,存在大量 ICMP Type3 报文放行记录,且来源非合法网关,可确认攻击行为。
六、ICMP不可达攻击全套防御方案(可直接落地)
针对该攻击“隐形、欺骗性、内核级生效”的特点,采用
边界拦截+设备策略+系统内核加固+流量清洗四层防御,彻底杜绝风险。
1、防火墙/网关核心拦截(最关键)
企业边界防火墙、路由器、安全网关配置核心规则:
拦截外网入站所有ICMP Type3不可达报文。
公网环境中,外网设备无权向内网服务器推送不可达报错,合法业务完全不需要外网ICMP不可达报文,直接批量丢弃即可从源头阻断攻击。
2、严格ICMP类型白名单管控
关闭高危ICMP报文放行权限,仅保留业务必要类型:
允许:Ping应答、超时报文(必要网络探测)
禁止:Type3不可达、Type5重定向、时间戳、信息请求等高危报文
通过白名单机制,彻底杜绝ICMP协议欺骗类攻击。
3、开启ICMP速率限流防护
在边界设备配置ICMP限流策略:限制单IP每秒ICMP报文数量,拦截高频批量伪造报文,防止小规模泛洪欺骗。
4、服务器内核参数加固
Linux服务器关闭内核ICMP路径欺骗、错误重定向处理,禁止内核轻信外部不可达报文,避免主动断开合法连接:
关闭ICMP重定向接收、关闭路径MTU自动探测、忽略外网ICMP报错报文,从系统底层免疫欺骗攻击。
5、接入云端DDoS智能清洗
针对复杂变种ICMP攻击,接入云清洗服务,平台可智能识别伪造ICMP不可达报文、异常欺骗流量,自动过滤恶意报文,回源干净流量。
6、内网入口过滤防伪造
边界路由开启URPF反向路由校验,拦截伪造源IP的ICMP报文,大幅降低报文伪造攻击成功率。
七、运维高频避坑误区
误区1:没有大流量就没有ICMP攻击
纠正:ICMP不可达攻击属于
轻量欺骗攻击,不靠流量打垮业务,靠协议误导断连,无流量特征。
误区2:所有ICMP报文都可以放行
纠正:公网环境90%的ICMP不可达、重定向报文都是攻击行为,无合法业务价值。
误区3:重启服务器可以修复业务
纠正:重启仅临时恢复会话,攻击持续存在,会反复出现业务掉线。
误区4:只防Ping洪水,忽略不可达报文
纠正:Ping攻击是显性攻击,ICMP不可达是隐形长期攻击,危害隐蔽性更强。
八、全文总结
ICMP不可达攻击是极易被忽视的隐形四层DoS攻击,依靠伪造Type3不可达报文欺骗系统内核,造成业务随机掉线、会话中断、丢包卡顿,无明显流量特征、排查难度大,长期影响企业业务稳定性。
运维防护核心逻辑:
外网全拦截ICMP不可达报文+ICMP白名单管控+内核加固+URPF防伪造+云端清洗,多层防护彻底免疫ICMP协议欺骗攻击,解决业务间歇性异常顽疾。
#ICMP不可达攻击 #ICMP攻击防护 #网络安全 #运维加固 #四层
DDoS防御 #服务器安全 #网络故障排查 #ICMP协议欺骗 #企业网络防护 #网工干货
关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务,全网第一款指纹识别技术防火墙,自研的WAF指纹识别架构,提供任意CC和
DDoS攻击防御