我们的一台服务器正在遭受大约 3-4Gbps 的 ICMP 洪水攻击,我感到疑惑...我有 20gbps 的 DDoS 防护,但奇怪的是,这种防护对 ICMP 似乎无效(它在过去可以很好地阻止大量 TCP 和 UDP 攻击,但在我们停机时,它对 ICMP 却失效了)。
以下是 DDoS 检测发布的流量示例: http://pastebin.com/raw.php?i=MW4gTN1C
问题是我不知道那些是什么类型的 ICMP 数据包。
1- 是否只能使用 ICMP ECHO(ping 数据包)类型进行此类攻击,或者是否有其他 ICMP 数据包类型可用于此类攻击?因为除了使用 echo 请求外,我认为自己无法反射 ICMP 数据包。
2-我知道建议对 ICMP 保持畅通,例如 MTU,那么我应该避免或限制哪种 ICMP 数据包(在某些情况下,某些数据包对于快速网络操作至关重要)?
3- 现在我要求在数据中心的核心路由器上完全拒绝 ICMP(我知道这是个坏主意,但我需要一个快速的解决方案,而且它有效)。ACL 是
0: deny icmp any 104.x.x.x/29
1: permit ip any any
有没有更好的方法来阻止这种攻击?你认为仅阻止 ICMP 回显请求就能消除攻击的影响吗?
总而言之,我试图想出一个过滤的 ACL潜在危险的 ICMP 数据包,而不需要完全摆脱它。
谢谢