類型：ICMP 攻擊 2 個改進

ICMP Flood 的攻擊原理屬于流量型的攻擊方式，是利用大的流量給服務器帶來較大的負載，影響服務器的正常服務。

抵御方法

雖然ICMP協議給黑客以可乘之機，但是ICMP攻擊也并非無藥可醫。只要在日常網絡管理中未雨綢繆，提前做好準備，就可以有效地避免ICMP攻擊造成的損失。

對于“Ping of Death”攻擊，可以采取兩種方法進行防范：第一種方法是在路由器上對ICMP數據包進行帶寬限制，將ICMP占用的帶寬控制在一定的范圍內，這樣即使有ICMP攻擊，它所占用的帶寬也是非常有限的，對整個網絡的影響非常少；第二種方法就是在主機上設置ICMP數據包的處理規則，最好是設定拒絕所有的ICMP數據包。

設置ICMP數據包處理規則的方法也有兩種，一種是在操作系統上設置包過濾，另一種是在主機上安裝防火墻。通過安裝防火墻抵御攻擊的方法如下：

選擇合適的防火墻

有效防止ICMP攻擊，防火墻應該具有狀態檢測、細致的數據包完整性檢查和很好的過濾規則控制功能。

狀態檢測防火墻通過跟蹤它的連接狀態，動態允許外出數據包的響應信息進入防火墻所保護的網絡。例如，狀態檢測防火墻可以記錄一個出去的 PING（ICMP Echo Request），在接下來的一個確定的時間段內，允許目標主機響應的ICMP Echo Reply直接發送給前面發出了PING命令的IP，除此之外的其他ICMP Echo Reply消息都會被防火墻阻止。與此形成對比的是，包過濾類型的防火墻允許所有的ICMP Echo Reply消息進入防火墻所保護的網絡了。許多路由器和基于Linux內核2.2或以前版本的防火墻系統，都屬于包過濾型，用戶應該避免選擇這些系統。

新的攻擊不斷出現，防火墻僅僅能夠防止已知攻擊是遠遠不夠的。通過對所有數據包進行細致分析，刪除非法的數據包，防火墻可以防止已知和未知的 DoS攻擊。這就要求防火墻能夠進行數據包一致性檢查。安全策略需要針對ICMP進行細致的控制。因此防火墻應該允許對ICMP類型、代碼和包大小進行過濾，并且能夠控制連接時間和ICMP包的生成速率。

配置防火墻以預防攻擊

一旦選擇了合適的防火墻，用戶應該配置一個合理的安全策略。以下是被普遍認可的防火墻安全配置慣例，可供管理員在系統安全性和易用性之間作出權衡。

防火墻應該強制執行一個缺省的拒絕策略。除了出站的ICMP Echo Request、出站的ICMP Source Quench、進站的TTL Exceeded和進站的ICMP Destination Unreachable之外，所有的ICMP消息類型都應該被阻止。