哪个 ping 发送“ICMP echo”作为有效负载?

哪个 ping 发送“ICMP echo”作为有效负载?

我们的网络服务器已经遭受攻击很长时间了(至少几个月)。我们收到了大约 50000 条 ICMP 回显请求消息(“ping”)每秒。如果我仔细观察它们,我可以看到它们几乎都具有有效载荷文本“ICMP echo”。这些 ping 来自大约 60000 个不同的 IP 地址(当然,这些地址可能是伪造的,但我不这么认为。不同的地址显示不同的发送模式)。

我检查了各种 ping 实用程序:Windows ping、hrping、fping、psping、hping 和 nmap(均在 Windows 下);它们似乎都无法创建此有效负载。

有人知道哪个实用程序包含此文本作为有效载荷吗?我想知道发生了什么。我们受到僵尸网络的攻击了吗?用户心烦意乱了吗?有人(好吧,很多人)错误配置了他们的软件吗?

感谢您的帮助。

答案1

部分答案是,许多版本这样做。许多版本的“ping”都支持“ ”选项:-p pattern

-p 图案

您可以指定最多 16 个“填充”字节来填充您发送的数据包。这对于诊断网络中与数据相关的问题很有用。例如,-p ff将导致发送的数据包全被 1 填充。

参考:12, 和3。因此,例如,我预计任何兼容版本的“ping”都会解释该命令ping -p 49434D50206563686F …以发送您描述的有效负载。

笔记:

  • 不幸的是,我无法真正验证该命令会做什么,因为我目前无法访问支持该选项的系统。
  • 是的,攻击你的人似乎不太可能会这么做。但你永远不知道饼干会怎样。

答案2

每秒 50000 次 ping 当然是故意发起拒绝服务攻击,如果它来自 60000 个不同的地址,那毫无疑问它来自僵尸网络。

当然,您不能在服务器上应答 ping 请求或通过防火墙对其进行保护。

答案3

ICMP 是 Ping,我们有 ICMP、TCP、UDP……

如果您需要有关 ICMP 的更多信息,请查看此处:http://en.wikipedia.org/wiki/Ping_%28networking_utility%29

我认为我们真正需要知道的是你正在使用什么软件读取此信息。这样我们就可以了解它如何读取数据包(与 cmd 提示符相比)。

虽然还有更多内容, http://en.wikipedia.org/wiki/Internet_Control_Message_Protocol

相关内容