什么是ping of death攻击

Ping of Death（又名 PoD）是一种 拒绝服务 ( DoS ) 攻击，在这种攻击中，攻击者试图通过使用简单的 ping 命令发送格式错误或超大的数据包来使目标计算机或服务崩溃、不稳定或冻结。

PoD 攻击利用目标系统中可能已修补的遗留弱点。然而，在未打补丁的系统中，攻击仍然相关且危险。最近流行一种新型的PoD攻击。这种攻击通常称为 Ping 洪水，目标系统会受到通过 ping 快速发送的 ICMP 数据包的攻击，而无需等待回复。

攻击描述

包括 IP 标头在内的格式正确的 IPv4 数据包的大小为 65,535 字节，其中总负载大小为 84 字节。许多历史上的计算机系统根本无法处理更大的数据包，如果它们收到一个数据包就会崩溃。这个漏洞在早期的 TCP/IP 实现中很容易被利用，这些操作系统包括 Windows、Mac、Unix、Linux 以及打印机和路由器等网络设备。

由于发送大于 65,535 字节的 ping 数据包违反了 Internet 协议，因此攻击者通常会分段发送格式错误的数据包。当目标系统尝试重新组装碎片并以超大数据包结束时，可能会发生内存溢出并导致各种系统问题，包括崩溃。

Ping of Death 攻击特别有效，因为攻击者的身份很容易被欺骗。此外，Ping of Death 攻击者不需要知道他/她正在攻击的机器的详细信息，除了它的 IP 地址。值得注意的是，这个漏洞虽然因其被 PoD 攻击利用而得到了最好的认可，但实际上可以被任何发送 IP 数据报的东西所利用——ICMP 回显、TCP、UDP 和 IPX。

缓解方法

为避免 Ping of Deatch 攻击及其变体，许多站点在其防火墙处完全阻止 ICMP ping 消息。但是，从长远来看，这种方法是不可行的。首先，无效数据包攻击可以针对任何侦听端口（如 FTP 端口），出于操作原因，您可能不想阻止所有这些端口。此外，通过阻止 ping 消息，您可以阻止合法的 ping 使用——例如，仍然有依赖 ping 的实用程序来检查连接是否有效。

Imperva 缓解了大规模的 HTTP 泛洪：来自 180,000 个僵尸网络 IP 的 690,000,000 个 DDoS 请求。更聪明的方法是有选择地阻止碎片化的 ping，让实际的 ping 流量不受阻碍地通过。Imperva DDoS Protection 服务智能且先发制人地识别并过滤掉所有异常大的数据包，即使它们是碎片化的——完全消除 PoD 和类似的基于数据包的攻击的威胁。