你有没有遇到过这种情况?服务器好好的,突然就卡得动不了,甚至直接崩了,查日志也没看到明显攻击,后来才知道是遭了 “死亡之 ping”?这名字听着挺吓人,到底是啥来头?小编前阵子帮一个朋友维护服务器,就碰到过这事儿,他的网站突然打不开,重启好几次才好,后来查出来就是这个 “死亡之 ping” 在搞鬼。今天就把这东西的来龙去脉讲清楚,还有怎么防,一起往下看吧!
先说说:死亡之 ping 到底是啥?
其实啊,“死亡之 ping” 就是一种网络攻击手段,利用的是 ping 命令的漏洞。咱们平时用 ping 命令,是用来检测网络通不通的,比如 ping 一下百度,看看能不能收到回复,就像给对方发个小纸条打招呼。
但 “死亡之 ping” 不一样,它发的不是小纸条,是 “超大包裹”。正常 ping 包大小有限制,一般不超过 65535 字节,可这种攻击会发超过这个大小的包,目标机器收到后处理不了,就像人被大卡车撞了一样,直接卡壳甚至死机。这也是为啥叫 “死亡之 ping”,听着就挺狠的对吧?
小编查过,这招在很早以前就有了,当时很多系统都没防住,现在虽然少见了,但没做好防护的服务器还是可能中招。
攻击原理:为啥一个 ping 就能搞垮服务器?
想弄明白也不难,你听小编给你掰扯掰扯。
咱们电脑接收数据的时候,大的数据包会被分成一小块一小块的,就像把大蛋糕切成小块再吃。正常情况下,这些小块会被重新拼起来,变成完整的数据包。但 “死亡之 ping” 发的包太大,超过了系统能处理的最大尺寸,接收方拼的时候就会出错,内存里的数据乱成一团,系统没办法,只能死机或者重启。
打个比方,就像你去快递点取快递,人家给你一个比仓库门还大的箱子,你怎么也塞不进去,最后整个快递点都被堵住了。早期的 Windows 95、Linux 2.0 这些系统,对这种情况没什么防备,很容易中招。现在的新系统虽然好多了,但如果没关 ICMP 协议(ping 命令用的就是这个协议),或者防火墙没设置好,还是有风险。
防御方法:做好这几步,就能挡住它
别怕,这东西看着凶,防起来其实不难,新手也能学会。
第一步:关掉不必要的 ICMP 响应
既然攻击用的是 ping 命令(ICMP 协议),那咱们可以让服务器不搭理这些 ping 包。
- Windows 系统:打开 “控制面板→系统和安全→Windows Defender 防火墙→高级设置”,找到 “入站规则”,禁用 “文件和打印机共享 (回显请求 – ICMPv4-In)” 这条规则,这样外面 ping 你的服务器,就收不到回复了。
- Linux 系统:用命令 “sudo iptables -A INPUT -p icmp –icmp-type echo-request -j DROP”,这条命令能挡住所有 ping 请求,想恢复的话,把 “DROP” 改成 “ACCEPT” 就行。
小编自己的服务器就关了 ICMP 响应,平时用着没影响,还能少很多麻烦。
第二步:限制 ping 包的大小
就算不关掉 ICMP,也可以限制接收的 ping 包大小,超过一定尺寸就拒收。
- 路由器设置:很多路由器的防火墙里有 “ICMP 包大小限制”,设成 65535 字节以下,超过这个数的包直接丢掉。
- 服务器设置:Linux 可以用 “iptables” 加规则,比如 “sudo iptables -A INPUT -p icmp –icmp-type echo-request -m length –length 65536: -j DROP”,意思是超过 65535 字节的 ping 包就拦掉。
这招就像给大门装了个限高杆,太高的车进不来,服务器自然安全多了。
第三步:及时更新系统补丁
早期系统的漏洞是 “死亡之 ping” 能得逞的重要原因,所以及时给服务器打补丁很重要。
- Windows:打开 “设置→更新和安全→Windows 更新”,把该装的补丁都装上,微软早就针对这个漏洞出过补丁了。
- Linux:用 “sudo apt update && sudo apt upgrade”(Ubuntu)或者 “sudo yum update”(CentOS),保持系统是最新状态。
小编见过有人的服务器因为系统太旧,没打补丁,结果中招的,所以别嫌麻烦,更新补丁能解决很多潜在问题。
自问自答:这些问题你可能也想问
问:关掉 ICMP 响应,会不会影响服务器正常使用啊?
答:基本不影响。平时服务器通信靠的是 TCP/UDP 协议,比如网站用的 80、443 端口,和 ICMP 没关系。就是你自己想 ping 服务器看通不通的时候,也收不到回复了,不过可以用其他工具检测,影响不大。
问:现在还有人用 “死亡之 ping” 攻击吗?
答:比以前少多了,因为新系统都有防护了。但一些老旧设备、没做好防护的服务器,还是可能成为目标,尤其是小企业或者个人的服务器,别掉以轻心。
问:除了这几招,还有别的防御办法吗?
答:可以装专门的入侵检测系统(比如 Snort),能监测到异常的 ping 包并报警;或者用云服务商的 DDoS 防护,他们的防火墙更专业,能挡住各种花样的攻击。
小编觉得,“死亡之 ping” 虽然名字吓人,但防御起来不算复杂,关键是做好基础防护。关掉不必要的服务、限制包大小、及时打补丁,这几步做好了,基本就能高枕无忧。其实很多网络攻击都是这样,看着厉害,只要咱们提前做好准备,就能轻松应对。
希望今天讲的这些能帮到你,要是你还知道其他防御方法,欢迎在评论区分享,让大家都能学到~
