您的位置: 新闻资讯 > 行业动态 > 正文

防ICMP不可达攻击:原理、危害、现场排查、全套防御方案(图文)


来源:mozhe 2026-07-14

前言

在网络安全运维、DDoS防护、企业边界加固场景中,ICMP不可达攻击是非常典型、却最容易被忽略的隐形四层攻击。很多站长、网工只重视Ping洪水、UDP Flood、CC攻击,却忽视了ICMP目的不可达报文带来的深层风险。
不同于直接打满带宽的暴力攻击,ICMP不可达攻击属于协议欺骗型DoS攻击,无需超大流量,仅通过伪造恶意ICMP 3类不可达报文,即可误导路由、中断正常TCP/UDP业务、造成业务随机掉线、访问间歇性故障,排查难度极高。
本文通俗详解ICMP不可达攻击原理、攻击特征、真实危害、快速自查方法、企业全套防御策略,全文SEO优化适配百度收录,结构清晰、可直接落地加固,适合运维、网安、站长收藏学习。

一、什么是ICMP不可达攻击?

ICMP不可达攻击,全称ICMP目的不可达报文欺骗攻击,核心利用ICMP协议无认证、可伪造的漏洞。攻击者批量伪造 ICMP Type3(目的不可达) 报文,冒充网关、路由设备向服务器、终端发送虚假端口不可达、主机不可达、网络不可达报文。
正常网络中,ICMP不可达报文是网络“报错提示”:访问不存在端口、无效网段时,网关返回不可达提示,辅助主机终止无效连接。
而攻击场景下,攻击者人为伪造虚假报错报文,让服务器误判合法业务端口、链路、主机失效,主动断开正常业务连接,实现低成本拒绝服务攻击。

二、ICMP不可达攻击核心原理

想要彻底防护,必须看懂底层欺骗逻辑,整个攻击流程分为4步:
1、ICMP协议本身无身份校验、无签名机制,任何主机均可伪造网关、路由IP发送报文;
2、攻击者伪造目标业务对应的端口不可达、主机不可达、分片不可达ICMP报文;
3、服务器/终端接收报文后,系统内核默认信任ICMP报错,判定当前TCP/UDP链路失效;
4、主动强行断开正常业务连接、清空路由缓存、终止会话,导致用户掉线、接口超时、业务卡顿。
该攻击最大特点:流量极小、无带宽占用、内核级断连、极难溯源,普通流量监控完全看不出攻击痕迹。

三、ICMP不可达报文常见类型(攻击高频)

ICMP Type3 不可达报文细分多个代码,也是攻击者主要利用的类型:
  • Code 0 网络不可达:误导主机目标网段不存在,阻断全网外联
  • Code 1 主机不可达:误导目标服务器离线,断开点对点业务连接
  • Code 3 端口不可达:最高频攻击,伪造业务端口关闭,强制断开TCP/UDP业务会话
  • Code 4 需要分片但DF位禁止:篡改MTU协商,导致数据包分片异常、业务丢包卡顿

四、ICMP不可达攻击真实业务危害

很多企业莫名出现业务间歇性故障,排查无果,大概率是该攻击导致,核心危害如下:
  • 业务随机掉线:网站、接口、游戏、UDP业务频繁断开重连
  • TCP会话异常中断:正常用户连接被内核强制销毁,无日志记录
  • MTU路径探测被篡改:数据包分片异常,出现卡顿、丢包、传输不全
  • 路由缓存错乱:服务器误判路由失效,导致全网访问波动
  • 运维排查困难:无大流量、无攻击日志、带宽正常,仅业务异常
  • 叠加DDoS放大危害:配合UDP Flood、SYN攻击,彻底打垮业务稳定性

五、如何快速自查是否遭受ICMP不可达攻击?

分享运维现场零门槛排查方法,精准定位隐形攻击:

1、业务特征判断

服务器带宽正常、CPU正常、无CC/UDP大流量,但是业务频繁间歇性断连、随机掉线、接口超时,基本判定存在ICMP协议欺骗攻击。

2、抓包精准验证

使用 TCPDump、Wireshark 过滤报文:
过滤规则:icmp && icmp.type == 3
如果短时间内出现大量陌生IP、虚假网关IP发送的不可达报文,即为典型ICMP不可达攻击。

3、设备日志排查

查看防火墙、边界路由日志,存在大量 ICMP Type3 报文放行记录,且来源非合法网关,可确认攻击行为。

六、ICMP不可达攻击全套防御方案(可直接落地)

针对该攻击“隐形、欺骗性、内核级生效”的特点,采用边界拦截+设备策略+系统内核加固+流量清洗四层防御,彻底杜绝风险。

1、防火墙/网关核心拦截(最关键)

企业边界防火墙、路由器、安全网关配置核心规则:拦截外网入站所有ICMP Type3不可达报文
公网环境中,外网设备无权向内网服务器推送不可达报错,合法业务完全不需要外网ICMP不可达报文,直接批量丢弃即可从源头阻断攻击。

2、严格ICMP类型白名单管控

关闭高危ICMP报文放行权限,仅保留业务必要类型:
 允许:Ping应答、超时报文(必要网络探测)
 禁止:Type3不可达、Type5重定向、时间戳、信息请求等高危报文
通过白名单机制,彻底杜绝ICMP协议欺骗类攻击。

3、开启ICMP速率限流防护

在边界设备配置ICMP限流策略:限制单IP每秒ICMP报文数量,拦截高频批量伪造报文,防止小规模泛洪欺骗。

4、服务器内核参数加固

Linux服务器关闭内核ICMP路径欺骗、错误重定向处理,禁止内核轻信外部不可达报文,避免主动断开合法连接:
关闭ICMP重定向接收、关闭路径MTU自动探测、忽略外网ICMP报错报文,从系统底层免疫欺骗攻击。

5、接入云端DDoS智能清洗

针对复杂变种ICMP攻击,接入云清洗服务,平台可智能识别伪造ICMP不可达报文、异常欺骗流量,自动过滤恶意报文,回源干净流量。

6、内网入口过滤防伪造

边界路由开启URPF反向路由校验,拦截伪造源IP的ICMP报文,大幅降低报文伪造攻击成功率。

七、运维高频避坑误区

 误区1:没有大流量就没有ICMP攻击
纠正:ICMP不可达攻击属于轻量欺骗攻击,不靠流量打垮业务,靠协议误导断连,无流量特征。
 误区2:所有ICMP报文都可以放行
纠正:公网环境90%的ICMP不可达、重定向报文都是攻击行为,无合法业务价值。
 误区3:重启服务器可以修复业务
纠正:重启仅临时恢复会话,攻击持续存在,会反复出现业务掉线。
 误区4:只防Ping洪水,忽略不可达报文
纠正:Ping攻击是显性攻击,ICMP不可达是隐形长期攻击,危害隐蔽性更强。

八、全文总结

ICMP不可达攻击是极易被忽视的隐形四层DoS攻击,依靠伪造Type3不可达报文欺骗系统内核,造成业务随机掉线、会话中断、丢包卡顿,无明显流量特征、排查难度大,长期影响企业业务稳定性。
运维防护核心逻辑:外网全拦截ICMP不可达报文+ICMP白名单管控+内核加固+URPF防伪造+云端清洗,多层防护彻底免疫ICMP协议欺骗攻击,解决业务间歇性异常顽疾。
#ICMP不可达攻击 #ICMP攻击防护 #网络安全 #运维加固 #四层DDoS防御 #服务器安全 #网络故障排查 #ICMP协议欺骗 #企业网络防护 #网工干货

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务,全网第一款指纹识别技术防火墙,自研的WAF指纹识别架构,提供任意CC和DDoS攻击防御

热门文章

X

7x24 小时

免费技术支持

15625276999


-->