服务器突然卡住不动,网站打不开,远程连接也掉了,重启之后没几分钟又不行了 —— 你遇到过这种情况吗?这很可能是遭了 “死亡之 ping” 攻击。新手可能会问,不就是个 ping 包吗,能有多大危害?小编前阵子帮一家小电商处理过,就因为这个攻击,他们的促销活动中断了 3 小时,订单损失近万块。今天就好好说说这攻击的危害,还有该怎么应对,一起往下看吧!
先说说:死亡之 ping 攻击到底有多坑?
别以为这攻击听起来老套就没威胁,它的危害可不小,小编总结了最常见的三种:
- 服务器直接瘫痪:超大 ping 包会让服务器内存溢出,就像杯子里强行塞太多水会漫出来一样。系统处理不过来,只能死机或自动重启,网站、APP 这些服务自然就停了。有次一个客户的游戏服务器遭攻击,玩家全被踢下线,半天没恢复,差评直接炸了。
- 业务中断损失大:对电商、在线教育这些靠线上吃饭的行业,每一分钟中断都在亏钱。小编算过一笔账,一个日流水 5 万的电商网站,中断 1 小时至少损失 2000 块,还不算用户流失的隐性成本。
- 后续麻烦不断:就算服务器重启恢复了,攻击可能还在继续。反复死机重启会伤硬件,硬盘、主板都可能提前老化。而且排查问题时,技术人员得熬夜加班,人力成本也蹭蹭涨。
有人可能会说,现在的服务器这么先进,还防不住这个?其实不然,很多新手没做防护设置,老旧系统也容易中招,攻击来了照样扛不住。
应对措施:这几招能挡住大部分攻击
知道了危害,就得想办法防。其实不难,做好这几步,能解决 80% 的问题。
第一步:限制 ping 包大小,从源头堵死漏洞
这是最关键的一步,就像给大门装个限高杆,超标的车进不来。
- Windows 系统:
- 按 “Win+R” 输 “regedit” 打开注册表
- 找到 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”
- 右键新建 “DWORD 值”,命名 “ICMPAllowBigPackets”,值设为 0(0 就是不允许超大包)
- 重启服务器,这样就不会接收超过限制的 ping 包了
- Linux 系统(以 Ubuntu 为例):
- 打开终端,输 “sudo iptables -A INPUT -p icmp –icmp-type echo-request -m length –length 65536: -j DROP”
- 回车执行,这条命令能拦截所有超过 65535 字节的 ping 包
小编自己的服务器就这么设置的,上次有朋友故意发超大 ping 包测试,直接被拦住了,服务器一点没卡。
第二步:关掉不必要的 ICMP 响应,减少攻击入口
如果你的服务器不需要对外提供 ping 测试功能,直接关掉 ICMP 响应更省事,相当于把门直接锁上。
- Windows:
- 打开 “控制面板→防火墙→高级设置”
- 点 “入站规则”,找到 “文件和打印机共享 (回显请求 – ICMPv4-In)”
- 右键 “禁用规则”,这样外面 ping 你的服务器就没反应了
- Linux:
- 终端输 “sudo iptables -A INPUT -p icmp –icmp-type echo-request -j DROP”
- 想恢复的话,把 “DROP” 换成 “ACCEPT” 再执行一次
有人担心关了 ICMP 会影响服务器正常工作,其实不会。网站访问、数据传输用的是其他协议,和 ICMP 没关系,关了反而更安全。
第三步:用防火墙和路由器再加一层防护
光靠服务器自身设置还不够,防火墙和路由器也能帮忙。
- 防火墙设置:在防火墙里新建规则,限制每秒接收的 ICMP 包数量,比如每秒不超过 10 个,超过就暂时拉黑来源 IP。
- 路由器防护:登录路由器管理后台,找到 “防 DoS 攻击” 或 “ICMP 防护”,开启后能过滤掉大部分恶意 ping 包。小编试过,开启后服务器收到的异常包少了 90%。
表格:不同系统应对措施对比,一目了然
| 操作方法 | Windows 系统 | Linux 系统 |
|---|---|---|
| 限制 ping 包大小 | 注册表添加 ICMPAllowBigPackets 值为 0 | iptables 限制包长度 > 65535 字节 |
| 关闭 ICMP 响应 | 禁用防火墙回显请求规则 | iptables 拦截 echo-request |
| 额外防护 | 防火墙限制 ICMP 包频率 | 用 fail2ban 工具自动拉黑异常 IP |
后半段自问自答:这些问题你可能也想问
问:我服务器配置很高,还需要做这些设置吗?
答:需要。配置高只能说抗攻击能力强一点,但超大 ping 包照样能让它卡壳。小编见过 8 核 16G 的服务器遭攻击,照样死机,别掉以轻心。
问:做了这些设置,就绝对安全了吗?
答:没有绝对的安全,但能挡住绝大多数攻击。如果遇到大规模分布式攻击,最好联系服务商,让他们在机房层面帮忙拦截,效果更好。
问:平时怎么知道有没有被攻击?
答:可以装监控工具,比如 Zabbix,设置 ICMP 包数量告警,超过阈值就提醒你。也可以定期看服务器日志,有大量来自同一 IP 的 ping 记录,可能就是在攻击。
小编觉得,对付 “死亡之 ping” 攻击,就像家里防小偷,门窗关紧了才能睡得踏实。这些设置看着麻烦,其实花半小时就能弄好,总比出问题后损失钱强。而且现在的攻击手段越来越多,多一层防护就多一分安心。
希望这些措施能帮到你,要是你有其他好办法,欢迎在评论区分享,让大家都能少踩坑~
