2022-01-07 ICMP洪水攻击

ICMP是（Internet Control Message Protocol）Internet控制报文协议。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。

ICMP flood的成因：足够快的数据包速度+足够的带宽，这才是洪水。

ping.exe和IcmpSendEcho速度慢的另一个原因是它们必须等待目标主机返回REPLY信息，这个过程需要花费大量时间，而Flood—— 洪水，顾名思义，是速度极快的，当一个程序发送数据包的速度达到了每秒1000个以上，它的性质就成了洪水产生器，洪水数据是从洪水产生器里出来的，但这 样还不够，没有足够的带宽，再猛的洪水也只能像公路塞车那样慢慢移动，成了鸡肋。要做真正的洪水，就需要有一条足够宽的高速公路才可以.由于ping.exe无法提速，这就需要专门的工具来做洪水了。

不同方式的ICMP洪水：

  1.  直接Flood

要做这个的首要条件是你的带宽够，然后就是要一个好用的ICMP Flooder。直接攻击会暴露自己IP（如果对方没有还击能力那还无所谓，固定IP用户不推荐使用这种Flood），如果可以伪造IP一般还是别用为妙。

    示意图：

攻击者[IP=211.97.54.3]—— ICMP—–>受害者[截获攻击者IP=211.97.54.3]==>换IP回来反击，嘿嘿

  2.  伪造IP的Flood

如果你是Win2000/XP并且是Administrator权限，可以试试看FakePing，它能随意伪造一个IP来Flood，让对方摸不到头脑，属于比较隐蔽阴险的Flood。

  示意图：

攻击者[IP=211.97.54.3]——伪造IP=1.1.1.1的ICMP——>受害者[截获攻击者IP=1.1.1.1]==>倒死

  3.  反射

这种攻击模式里，最终淹没目标的洪水不是由攻击者发出的，也不是伪造IP发出的，而是正常通讯的服务器发出的！实现的原理也不算复杂，Smurf方式把源IP设置为受害者IP，然后向多台服务器发送ICMP报文（通常是ECHO请求），这些接收报文的服务器被报文欺骗，向受害者返回ECHO应答（Type=0），导致垃圾阻塞受害者的门口。从示意图可以看出，它比上面两种方法多了一级路径——受骗的主机（称为“反射源”），所以，一个反射源是否有效或者效率低下，都会对Flood效果造成影响！