如何防范ICMP FLOOD攻击

ICMP FLOOD攻击是一种网络攻击方式,目标是通过向目标主机发送大量ICMP请求packets,占用目标主机网络资源,并最终使其网络瘫痪。防范ICMP FLOOD攻击的措施主要有:

1. 禁用ICMPv4重定向功能。关闭路由器的ICMPv4重定向功能,禁止其将ICMPv4重定向消息传递到内网主机。

2. 限制ICMP错误消息的传输。限制路由器生成和转发ICMP错误消息(如ICMP Destination Unreachable消息)的数量,比如每秒钟只允许生成100条ICMP错误消息。

3. 过滤ICMP消息。在路由器的访问控制列表(ACL)中设置规则,过滤不必要的ICMP消息,只允许必要的ICMP消息类型通过,如ICMP echo request和echo reply。

4. 设置ICMP速率限制。限制路由器接收和转发ICMP消息的速率,比如每秒钟不得超过200个ICMP请求或响应。将超过限速的ICMP消息丢弃。

5. 应用基于思科的NetFlow或Juniper的cFlow的流量监控技术,对ICMP流量进行实时监测,在发现异常情况下采取防范措施。

6. 部署入侵防御系统。入侵防御系统能够分析ICMP数据包的特征,在检测到ICMP FLOOD攻击时对攻击源采取自动防御措施,如丢弃攻击者的ICMP数据包。

7. 提高网络资源的伸缩能力。增加带宽,加大内存和CPU容量等,提高网络资源的伸缩能力,使网络具有更好的抗击打能力,不容易被FLOOD攻击瘫痪。

8. 禁用Windows的ICMP重定向功能。在Windows主机的高级IP设置中禁用“允许在此接口上发送和接收ICMP重定向消息”选项,以免ICMP重定向消息影响网络。

这些措施一般都可在传统的路由器和交换机中进行设置,较好的防范ICMP FLOOD攻击。但对于大规模的攻击,更推荐使用专业的入侵防御系统进行防护。