3.时间戳

　　时间戳请求报文（type=13）和时间戳应答报文（type=14）用于测试两台主机之间数据报来回一次的传输时间。传输时，主机填充原始时间戳，接收方收到请求后填充接收时间戳后以type=14的报文格式返回，发送方计算这个时间差。一些系统不响应这种报文。

　　三、回到正题：这样的攻击有效吗？

　　在前面讲过了，ping使用的是echo应答，不知道大家注意过没有，ping的返回很慢，用netxray抓包仅为1--5包/秒，这是为什么呢？事实上，icmp本身并不慢（由于icmp是sock_raw产生的原始报文，速度比sock_stream的syn和sock_dgram的udp要快几乎10倍！），这样的速度是ping程序故意延迟的（为什么？m$可不想每个人都能用ping来干坏事），同样，我测试过一些号称“ping洪水”的程序，发现它们的效率和ping.exe没什么两样，经过dependency walker查看程序调用的函数发现，他们用的是icmp.dll提供的icmpsendecho这个api，这个函数是计算echo时间的，速度当然慢！而那两个“高手”号召的ping攻击实际上就是为了实现icmp洪水攻击，但是他们用的方法……想想洪水的速度和山涧小溪的速度相差多少吧！就用ping.exe和icmpsendecho这种小溪慢慢流淌的速度能做什么？还不是让人家看笑话！这种攻击根本就是浪费自己的时间！（如今还经常有人问ping -l 65500 -t的攻击威力如何……哎，悲哀啊悲哀……）
　四、什么是icmp洪水？

　　1.icmp洪水的成因

　　ping.exe和icmpsendecho速度慢的另一个原因是它们必须等待目标主机返回reply信息，这个过程需要花费大量时间，而flood——洪水，顾名思义，是速度极快的，当一个程序发送数据包的速度达到了每秒1000个以上，它的性质就成了洪水产生器，洪水数据是从洪水产生器里出来的，但这样还不够，没有足够的带宽，再猛的洪水也只能像公路塞车那样慢慢移动，成了鸡肋。要做真正的洪水，就需要有一条足够宽的高速公路才可以。极慢的发送速度+56kbps小猫等于什么？等于一个未关紧的水龙头，根本没用。
由于ping.exe无法提速，这就需要专门的工具来做洪水了。足够快的数据包速度+足够的带宽，这才是洪水。

　　2.实现icmp洪水的前提

　　最大的前提是攻击者的速度！如果你要用56k拨号去攻击一个512kbps adsl用户，后果和一只蚂蚁伸腿想绊倒大象的天方夜谭是一样的！其次是你的机器运行速度和数据吞吐量，由于涉及ip校验和的计算（先设置头校验和域的数值为0，然后对整个数据报头按每16位求异或，再把结果取反，就得到了校验和），如果数据处理能力不够，在这步就慢了一个级别，效果当然大打折扣。最后就是目标机器的带宽！如果对方比你大很多（例如你2m adsl，别人用ddn或t1），那么任何flood都是无病呻吟，挠痒都不够！（希望不要再问“小金，你的r-series怎么不好用啊”、“我用小金的angryping攻击别人半天都没事！”、“独裁者的攻击怎么无效啊？”这样的问题了，天啊，我头都大了！）
还有许多人都忽略的问题：发送的速度与数据包大小成反比，而且太大的数据包会被路由器等设备过滤掉！找到一个合适的数据包大小，对提高flood的效率有很大帮助！

　　3.洪水——两败俱伤的攻击方式

　　别以为洪水无所不能，实际上，你展开洪水攻击时，攻击程序在消耗对方带宽和资源时，也在消耗你的带宽和资源。这只是个看谁撑得住的攻击而已。实际上，有经验的攻击者都是用被控制的服务器（肉鸡）来代替自己的机器发动攻击的，不到万不得已或者你对自己的机器网速有自信，否则尽量少用自己的机器来拼搏！

　　五、不同方式的icmp洪水

　　1.直接flood

　　要做这个的首要条件是你的带宽够，然后就是要一个好用的icmp flooder，别用ping.exe那种探路用的垃圾，例如我以前发布的angryping，发包速度达到6000---9000包/秒（512 kbps adsl），默认是32bytes的echo报文洪水，用它即使不能flood别人下去，防火墙也叫得够惨的了。直接攻击会暴露自己ip（如果对方没有还击能力那还无所谓，固定ip用户不推荐使用这种flood），直接flood主要是为了顾及win9x/me不能伪造ip的缺陷，否则一般还是别用为妙。