简单示意图：

　　icmp
　　攻击者[ip=211.97.54.3]--------------------------------->受害者[截获攻击者ip=211.97.54.3]==>换ip回来反击，嘿嘿

　　2.伪造ip的flood

　　如果你是win2000/xp并且是administrator权限，可以试试看fakeping，它能随意伪造一个ip来flood，让对方摸不到头脑，属于比较隐蔽阴险的flood。

　　简单示意图：

　　伪造ip=1.1.1.1的icmp
　　攻击者[ip=211.97.54.3]--------------------------------->受害者[截获攻击者ip=1.1.1.1]==>倒死

　　3.反射

　　用采取这种方式的第一个工具的名称来命名的“smurf”洪水攻击，把隐蔽性又提高了一个档次，这种攻击模式里，最终淹没目标的洪水不是由攻击者发出的，也不是伪造ip发出的，而是正常通讯的服务器发出的！

　　实现的原理也不算复杂，smurf方式把源ip设置为受害者ip，然后向多台服务器发送icmp报文（通常是echo请求），这些接收报文的服务器被报文欺骗，向受害者返回echo应答（type=0），导致垃圾阻塞受害者的门口……

　　从示意图可以看出，它比上面两种方法多了一级路径——受骗的主机（称为“反射源”），所以，一个反射源是否有效或者效率低下，都会对flood效果造成影响！

　　简单示意图：

　　伪造受害者的icmp 应答
　　攻击者[ip=211.97.54.3]-------------------------->正常的主机--------------->受害者[截获攻击者ip=……网易？！]==>哭啊……

　　以上是几种常见的flood方式，在测试中，我发现一个有趣的现象：一些防火墙（如天网）只能拦截echo请求（ping）的icmp报文，对于其他icmp报文一概睁只眼闭只眼，不知道其他防火墙有没有这个情况。所以想神不知鬼不觉对付你的敌人时，请尽量避开直接echo flood，换用type=0的echo应答或type=14的时间戳应答最好，其他类型的icmp报文没有详细测试过，大家可以试试看type=3、4、11的特殊报文会不会有更大效果。

　　六、icmp flood能防吗？

　　先反问你一个问题：洪水迅猛的冲来时，你能否拿着一个脸盆来抵挡？（坐上脸盆做现代鲁宾逊倒是个不错的主意，没准能漂到mm身边呢）

　　软件的网络防火墙能对付一些漏洞、溢出、oob、igmp攻击，但是对于洪水类型的攻击，它们根本无能为力，我通常对此的解释是“倾倒垃圾”：“有蟑螂或老鼠在你家门前逗留，你可以把它们赶走，但如果有人把一车垃圾倾倒在你家门口呢？”前几天看到mikespook大哥对此有更体面的解释，转载过来——“香蕉皮原理：如果有人给你一个香蕉和一个香蕉皮你能区分，并把没有用的香蕉皮扔掉。（一般软件防火墙就是这么判断并丢弃数据包的。）但是如果有人在同一时间内在你身上倒一车香蕉皮，你再能区分有用没用也没啥作用了~~因为你被香蕉皮淹没了~~~~（所以就算防火墙能区分是dos的攻击数据包，也只能识别，根本来不及丢弃~~死了，死了，死了~~）”

　　所以，洪水没法防！能做的只有提高自己的带宽和预防洪水的发生（虽然硬件防火墙和分流技术能做到，但那价格是太昂贵的，而且一般人也没必要这样做）。

　　如果你正在被攻击，最好的方法是抓取攻击者ip（除非对方用第一种，否则抓了没用——假的ip）后，立即下线换ip！（什么？你是固定ip？没辙了，打电话找警察叔叔吧）
　七、被icmp flood攻击的特征

　　如何发现icmp flood？

　　当你出现以下症状时，就要注意是否正被洪水攻击：

　　1.传输状态里，代表远程数据接收的计算机图标一直亮着，而你没有浏览网页或下载
　　2.防火墙一直提示有人试图ping你
　　3.网络速度奇慢无比
　　4.严重时系统几乎失去响应，鼠标呈跳跃状行走

　　如果出现这些情况，先不要慌张，冷静观察防火墙报警的频率及ip来确认是否普通的ping或是洪水，做出相应措施（其实大多数情况也只能换ip了）。