死亡之 Ping 攻击是一种 拒绝服务 (DoS) 攻击,攻击者旨在通过发送大于最大允许大小的数据包来破坏目标计算机,从而导致目标计算机冻结或崩溃。原始的死亡之 Ping 攻击如今并不常见。称为 ICMP 洪水攻击的相关攻击更为普遍。
死亡之 Ping 如何工作?
Internet 控制消息协议 (ICMP) 回显回复消息或 “ping” 是用于测试网络连接的网络实用程序,其工作原理类似于声纳 – 发出“脉冲” 而该脉冲发出的“回显”告知操作员有关环境的信息。如果连接正常,则源计算机收到来自目标计算机的回复。
尽管某些 ping 数据包非常小,但 IPv4 ping 数据包要大得多,并且可以达到 65,535 字节的最大允许数据包大小。某些 TCP/IP 系统从未设计用于处理大于最大值的数据包,从而使其容易受到大于该大小的数据包的攻击。
当恶意大数据包从攻击者传输到该目标时,该数据包将分成多个分段,每个分段均低于最大大小限制。当目标计算机尝试将这些部分一起放回时,总数超出大小限制,并且可能发生缓冲区溢出,从而导致目标计算机冻结、崩溃或重启。
虽然 ICMP 回显可用于此攻击,但发送 IP 数据包的任何内容均可用于此漏洞。其中包括 TCP、UDP 和 IPX 传输。
如何防护死亡之 Ping DDoS 攻击?
阻止攻击的一种解决方案是向重组过程添加检查,以确保在数据包重组后不会超出最大数据包大小限制。另一个解决方案是创建具有足够空间来处理超出准则最大值的数据包的内存缓冲区。
原始死亡之 Ping 攻击大多已经灭绝;1998 年后生产的设备通常都会防止此类攻击。部分旧设备可能仍易受攻击。最近发现了针对 Microsoft Windows IPv6 数据包的新型死亡之 Ping 攻击,并于 2013 年年中进行修补。Cloudflare DDoS 防护通过在格式错误的数据包到达目标主机计算机之前丢弃它们来缓解死亡之 Ping 攻击。
