簡單而重要的協議：ICMP

Internet Control Message Protocol”（Internet控制訊息協議）

TCP/IP協議族的一個子協議，用於在IP主機、路由器之間傳遞控制訊息。控制訊息是指網路通不通、主機是否可達、路由是否可用等網路本身的訊息。

這些控制訊息雖然並不傳輸使用者資料，但是對於使用者資料的傳遞起著重要的作用。

經常使用的用於檢查網路通不通的Ping命令，這個“Ping”的過程實際上就是ICMP協議工作的過程。還有其他的網路命令如跟蹤路由的Tracert命令也是基於ICMP協議的。

ICMP的網路安全意義：

ICMP協議本身的特點決定了它非常容易被用於攻擊網路上的路由器和主機.

比如，可以利用作業系統規定的ICMP資料包最大尺寸不超過64KB這一規定，向主機發起“Ping of Death”（死亡之Ping）攻擊。“Ping of Death” 攻擊的原理是：如果ICMP資料包的尺寸超過64KB上限時，主機就會出現記憶體分配錯誤，導致TCP/IP堆疊崩潰，致使主機當機。
　此外，向目標主機長時間、連續、大量地傳送ICMP資料包，也會最終使系統癱瘓。大量的ICMP資料包會形成“ICMP風暴”，使得目標主機耗費大量的CPU資源處理，疲於奔命。
　應對ICMP攻擊
　雖然ICMP協議給駭客以可乘之機，但是ICMP攻擊也並非無藥可醫。只要在日常網路管理中未雨綢繆，提前做好準備，就可以有效地避免ICMP攻擊造成的損失。
　對於“Ping of Death”攻擊，可以採取兩種方法進行防範：第一種方法是在路由器上對ICMP資料包進行頻寬限制，將ICMP佔用的頻寬控制在一定的範圍內，這樣即使有ICMP攻擊，它所佔用的頻寬也是非常有限的，對整個網路的影響非常少；第二種方法就是在主機上設定ICMP資料包的處理規則，最好是設定拒絕所有的ICMP資料包。
　設定ICMP資料包處理規則的方法也有兩種，一種是在作業系統上設定包過濾，另一種是在主機上安裝防火牆。

[@more@]