Ping 洪水是一種拒絕服務攻擊，攻擊者試圖用 ICMP 回顯請求包使目標設備不堪重負，導致正常流量無法正常訪問目標。當攻擊流量來自多個設備時，攻擊將成為 DDoS 或分布式拒絕服務攻擊。

Ping 洪水攻擊的工作原理

Ping 洪水攻擊中會利用互聯(lián)網(wǎng)控制消息協(xié)議 (ICMP)，后者是網(wǎng)絡設備用來通信的互聯(lián)網(wǎng)層協(xié)議。網(wǎng)絡診斷工具 traceroute 和 ping 都使用 ICMP 工作。通常，ICMP 回顯請求和回顯回復消息被用于 ping 網(wǎng)絡設備，以便診斷設備的運行狀況和連接性以及發(fā)送方和設備之間的連接。

ICMP 請求需要一些服務器資源來處理每個請求并發(fā)送響應。該請求對于傳入消息（回顯請求）和傳出響應（回顯回復）也都需要帶寬。Ping 洪水攻擊旨在利用虛假流量使目標設備無法響應大量請求和/或讓網(wǎng)絡連接超負荷。通過利用 ICMP 請求使僵尸網(wǎng)絡中的許多設備針對相同的互聯(lián)網(wǎng)資產(chǎn)或基礎設施組件，攻擊流量將大大增加，進而可能導致正常網(wǎng)絡活動的中斷。在以前，攻擊者通常會在偽造的 IP 地址中進行欺騙來掩蓋發(fā)送設備。借助現(xiàn)代僵尸網(wǎng)絡攻擊，惡意行為者幾乎不需要掩蓋機器人 IP 的需要，而是依靠未偽造的機器人構成的大型網(wǎng)絡來使目標的容量達到飽和。

Ping (ICMP) 洪水的 DDoS 形式可分為 2 個重復步驟：

1. 攻擊者使用多個設備將許多 ICMP 回顯請求數(shù)據(jù)包發(fā)送到目標服務器。
2. 然后目標服務器將 ICMP 回顯回復包發(fā)送到每個請求設備的 IP 地址作為響應。

Ping 洪水的破壞效果與對目標服務器發(fā)出的請求數(shù)量成正比。與基于反射的 DDoS 攻擊（例如 NTP 放大和 DNS 放大攻擊），Ping 洪水的攻擊流量是對稱的；目標設備接收的帶寬量是每個機器人發(fā)送的總流量之和。

如何防護 Ping 洪水攻擊？

禁用 ping 洪水最簡單的方法是禁用目標路由器、計算機或其他設備的 ICMP 功能。網(wǎng)絡管理員訪問設備的管理界面，并禁用其使用 ICMP 發(fā)送和接收任何請求的能力，即可有效地消除對請求的處理和對回顯回復的處理。在此后，所有涉及 ICMP 的網(wǎng)絡活動都會被禁用，設備對 ping 請求、traceroute 請求和其他網(wǎng)絡活動無響應。