Ping of Death俗稱(chēng)“死拼”，其攻擊原理是攻擊者A向受害者B發(fā)送一些尺寸超大的ICMP(Ping命令使用的是ICMP報(bào)文)報(bào)文對(duì)其進(jìn)行攻擊(對(duì)于有些路由器或系統(tǒng)，在接收到一個(gè)這樣的報(bào)文后，由于處理不當(dāng)，會(huì)造成系統(tǒng)崩潰、死機(jī)或重啟)。

為了讓大家更好的理解Ping of Death攻擊原理，下面補(bǔ)充介紹下IP報(bào)文和ICMP報(bào)文的封裝格式。

1).4位版本：標(biāo)識(shí)IP協(xié)議的版本。如果是IPV4，則為ox4，二進(jìn)制為0100。如果是IPV6，則為ox6，二進(jìn)制為0110;

2).4位首部長(zhǎng)度：標(biāo)識(shí)IP首部的長(zhǎng)度，單位是DWord(4字節(jié))。4位二進(jìn)制數(shù)組成的最大數(shù)為1111，十進(jìn)制為15，所以IP首部的最大長(zhǎng)度為：15*4=60字節(jié)。

普通IP報(bào)文的首部長(zhǎng)度為20字節(jié)，所以該四位首部長(zhǎng)度標(biāo)識(shí)位一般為：0101;

3).8位服務(wù)類(lèi)型(TOS)：TOS是Type Of Services的縮寫(xiě)。

第2、3、4、5位分別代表最小費(fèi)用、最高可靠性、最大吞吐量和最小延時(shí)，4種服務(wù)中只能同時(shí)選擇一種，置“0”代表選中，如全部為“0”，則代表一般服務(wù)。高三位用來(lái)標(biāo)識(shí)報(bào)文的優(yōu)先級(jí)，“111”代表最高優(yōu)先級(jí)。

4).16位報(bào)文總長(zhǎng)度：用來(lái)標(biāo)識(shí)IP報(bào)文的長(zhǎng)度，216-1=65535，所以單片IP報(bào)文的最大長(zhǎng)度不能超過(guò)65535個(gè)字節(jié);

5).8位生存時(shí)間(TTL)：TTL即Time To Live，報(bào)文的最大生存時(shí)間為28-1=255，單位是跳，報(bào)文每經(jīng)過(guò)一次路由器，TTL自動(dòng)減1，當(dāng)TTL減到0時(shí)，報(bào)文自動(dòng)被丟棄;

6).16位標(biāo)識(shí)：標(biāo)識(shí)字段唯一地標(biāo)識(shí)主機(jī)發(fā)送的每一份數(shù)據(jù)報(bào)。通常每發(fā)送一份報(bào)文它的值就會(huì)加1;

7).3位標(biāo)識(shí)：用來(lái)標(biāo)識(shí)報(bào)文分片的相關(guān)信息，具體如下所示;

8).13位分片偏移：用來(lái)標(biāo)識(shí)分片報(bào)文的分片偏移量，偏移的數(shù)量必須是8的整數(shù)倍;

9).8位協(xié)議號(hào)：用來(lái)標(biāo)識(shí)IP種封裝的報(bào)文種類(lèi)。

1代表是ICMP報(bào)文

2代表是IGMP報(bào)文

6代表是TCP報(bào)文

17代表是UDP報(bào)文

10).16位首部校驗(yàn)和：對(duì)IP首部的校驗(yàn)字段，只對(duì)首部校驗(yàn)，不管數(shù)據(jù)部分。

Ping of Death攻擊，上面已經(jīng)介紹了，IP報(bào)文的最大長(zhǎng)度是216-1=65535個(gè)字節(jié)，那么去除IP首部的20個(gè)字節(jié)和ICMP首部的8個(gè)字節(jié)，實(shí)際數(shù)據(jù)部分長(zhǎng)度最大為：65535-20-8=65507個(gè)字節(jié)。所謂的尺寸超大的ICMP報(bào)文就是指數(shù)據(jù)部分長(zhǎng)度超過(guò)65507個(gè)字節(jié)的ICMP報(bào)文

針對(duì)Ping of Death攻擊，網(wǎng)絡(luò)安全設(shè)備僅僅通過(guò)超大包過(guò)濾方法不能達(dá)到很好的防御效果，因?yàn)樵诰�網(wǎng)種傳輸?shù)拇蟛糠謭?bào)文都經(jīng)過(guò)了分片，所以單片報(bào)文不會(huì)超過(guò)65507個(gè)字節(jié)，只是在接收端完成組合后才會(huì)超過(guò)65507個(gè)字節(jié)。所以針對(duì)Ping of Death攻擊，最有效防御方式是禁止ICMP報(bào)文通過(guò)網(wǎng)絡(luò)安全設(shè)備。