图 1.
ICMP的重要性
ICMP协议对于网路安全具有极其重要的意义。ICMP协议本身的特点决定了它非常容易被用于攻击网路上的路由器和主机。例如,在1999年8月海信集团“悬赏”50万元人民币测试防火墙的过程中,其防火墙遭受到的ICMP攻击达334050次之多,占整个攻击总数的90%以上!可见,ICMP的重要性绝不可以忽视!
比如,可以利用作业系统规定的ICMP数据包最大尺寸不超过64KB这一规定,向主机发起“Ping of Death”(死亡之Ping)攻击。“Ping of Death” 攻击的原理是:如果ICMP数据包的尺寸超过64KB上限时,主机就会出现记忆体分配错误,导致TCP/IP堆叠崩溃,致使主机死机。
此外,向目标主机长时间、连续、大量地发送ICMP数据包,也会最终使系统瘫痪。大量的ICMP数据包会形成“ICMP风暴”,使得目标主机耗费大量的CPU资源处理,疲于奔命。
应对ICMP攻击
虽然ICMP协议给骇客以可乘之机,但是ICMP攻击也并非无药可医。只要在日常网路管理中未雨绸缪,提前做好准备,就可以有效地避免ICMP攻击造成的损失。
对于“Ping of Death”攻击,可以采取两种方法进行防范:第一种方法是在路由器上对ICMP数据包进行带宽限制,将ICMP占用的带宽控制在一定的范围内,这样即使有ICMP攻击,它所占用的带宽也是非常有限的,对整个网路的影响非常少;第二种方法就是在主机上设定ICMP数据包的处理规则,最好是设定拒绝所有的ICMP数据包。
设定ICMP数据包处理规则的方法也有两种,一种是在作业系统上设定包过滤,另一种是在主机上装设防火墙.
---------------------------------------------
看了文章..有何感想呢.快去装防毒软体AND防火墙吧
常扫毒好处多多喔!!
站在诺顿的商业立场来说.当然是希望您购买他们的产品.才有赚头
另外.这篇文章也有关于ICMP的详细介绍
http://www.iii.org.tw/adc/p...s/00B02.htm 
