論文ARP欺騙及ICMP攻擊技術(shù)分析

菏澤學(xué)院Heze?？粕厴I(yè)設(shè)計〔論文〕題目ARP欺騙及ICMP攻擊技術(shù)分析姓名鄭曉曉學(xué)號2007130095系別計算機(jī)與信息工程系專業(yè)計算機(jī)應(yīng)用技術(shù)指導(dǎo)教師蘇軍職稱2010年5月30日菏澤學(xué)院教務(wù)處制摘要ARP欺騙及ICMP攻擊是以太網(wǎng)中常用的攻擊手段，兩者都可對目的網(wǎng)絡(luò)進(jìn)行DOS〔拒絕效勞〕帶寬攻擊。通過分析防范應(yīng)對措施方面的異同得出實施ARP欺騙更容易到達(dá)帶寬攻擊的結(jié)論。拒絕效勞〔DenialofService,Dos〕攻擊，指利用TCP/IP協(xié)議的缺陷攻擊目標(biāo)主機(jī)或網(wǎng)絡(luò)，使之無法提供正常的效勞或資源訪問，其根本目的是使受害主機(jī)或網(wǎng)絡(luò)無法及時接收并處理外界請求，或無法及回應(yīng)外界請求。DOS攻擊主要分為網(wǎng)絡(luò)的帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請求無法通過。連通性攻擊指用大量的連接請求沖計算機(jī)，使得可用的操作系統(tǒng)資源都被消耗殆盡，最終使計算機(jī)無法處理合法用戶的請求。ARP欺騙和ICMP攻擊的實施方法，由于路由器、防火墻等網(wǎng)絡(luò)設(shè)備對接收到的ICMP數(shù)據(jù)包設(shè)置了嚴(yán)格的平安策略，而ARP欺騙又主要應(yīng)用天平安性較差的局域網(wǎng)中，因此ARP欺騙在帶寬攻擊方面實施起來比ICMP攻擊更容易些。對于ICMP的攻擊，選擇適宜的防火墻有效防止ICMP攻擊，防火墻具有狀態(tài)檢測、細(xì)致的數(shù)據(jù)完整性檢查和很好的過濾規(guī)那么控制功能。AbstractTheARPdeceitandtheICMPattackareintheethernetthecommonlyusedattackmethod,bothallmaycarryonDOStothegoalnetwork(torefusetoserve)thebandwidthattack.ShouldobtainthroughtheanalysisguardtothemeasureaspectsimilaritiesanddifferencesimplementstheARPdeceittobeeasiertoachievethebandwidthattacktheconclusion.Refusestoserve(DenialofService,Dos)attack,refersusestheTCP/IPagreementtheflawattackgoalmainengineorthenetwork,causesittobeunabletoprovidethenormalserviceortheresourcesvisit,itsprimarypurposeiscausestosufferinjurythemainengineorthenetworkisunabletoreceivepromptlyandprocessestheoutsidetorequest,orisunableandtheresponseoutsiderequest.TheDOSattackmainlydividesintothenetworkthebandwidthattackandtheconnectiveattack.Thebandwidthattackrefersbytheenormouscommunicationloadimpactnetwork,causesthenetworkresourcesalltoconsumethedanger,finallycausesthelegitimateusertorequestisunabletopass.Theconnectiveattackreferswiththemassiveconnectionrequestflushesthecomputer,causestheavailableoperatingsystemresourcesalltoconsumethedanger,finallycausesthecomputertobeunabletoprocessthevalidatedusertherequest.ARPdeceitandICMPattackimplementationmethod,becausenetworkequipmentdockingandsoonrouter,firewallreceivestheICMPdatapackethasestablishedthestrictsecuritypolicy,buttheARPdeceitmainlyappliesinthedaysecuritybadlocalareanetwork,thereforetheARPdeceitimplementsinthebandwidthattackaspectiseasierthantheICMPattack.RegardingtheICMPattack,choosestheappropriatefirewalltopreventeffectivelyICMPattacks,thefirewallhastheconditionexamination,thecarefuldataintegrityinspectionandtheverygoodfiltrationrulecontrolfunction.關(guān)鍵詞：ARP欺騙及ICMP攻擊分析平安目錄TOC\o"1-2"\h\z\u摘要 iiAbstract ii1ARP欺騙概述 11.1ARP協(xié)議 11.2解決ARP攻擊的方法 11.3故障現(xiàn)象 21.4解決思路 32路由器ARP表綁定設(shè)置 43ICMP協(xié)議的概述 73.1什么是ICMP協(xié)議 73.2ICMP的消息格式和代碼組合 83.3使用ICMP協(xié)議搜集信息 93.4ICMP攻擊及欺騙技術(shù) 104配置系統(tǒng)帶的默認(rèn)防火墻以預(yù)防攻擊 125結(jié)論 186參考文獻(xiàn) 197致謝 191ARP欺騙概述在實際網(wǎng)絡(luò)的鏈路上傳送數(shù)據(jù)幀時，是采用硬件地址來尋址，地址解析協(xié)議(AddressResolutionProtocol,ARP)解決了從IP地址到硬件地址的映射問題。比方，源主機(jī)欲向本網(wǎng)內(nèi)的主機(jī)發(fā)送數(shù)據(jù)包時，先在源主機(jī)的ARP高速緩存中查看有無目的主機(jī)的硬件地址，如存在，就將目的主機(jī)的硬件地址寫入MAC幀并發(fā)送；如不存在，源主機(jī)自動在網(wǎng)內(nèi)播送一個ARP請求報文來獲得目的主機(jī)的硬件地址。網(wǎng)內(nèi)的所有主機(jī)都收到此ARP請求，只有目的主機(jī)才會發(fā)回一個ARP響應(yīng)報文，并寫入自己的硬件地址。當(dāng)源主機(jī)收到目的主機(jī)的ARP響應(yīng)后，就在其ARP高速緩存中寫入目的主機(jī)的IP地址到硬件地址的映射。ARP協(xié)議的無連接、無認(rèn)證特性，使得局域網(wǎng)中的任何主機(jī)可隨意發(fā)送ARP請求包，也可以接收ARP應(yīng)答包，并且無條件的根據(jù)應(yīng)答包內(nèi)的內(nèi)容刷新本機(jī)的ARP緩存，因此ARP欺騙廣泛用于交換式以太網(wǎng)絡(luò)中。1.1ARP協(xié)議ARP協(xié)議是“AddressResolutionProtocol〞(地址解析協(xié)議)的縮寫。在局域網(wǎng)中，網(wǎng)絡(luò)中實際傳輸?shù)氖恰皫?，幀里面是有目?biāo)主機(jī)的MAC地址。在以太網(wǎng)中，一個主機(jī)要和另一個主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)的MAC。但這個目標(biāo)MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。ARP協(xié)議的根本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。1.2解決ARP攻擊的方法舉一個簡單的ARP欺騙的例子：每臺安裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表，表里的IP地址與MAC地址是一一對應(yīng)的，如圖1-1所示：主機(jī)IP地址MAC地址A192．168．0．200-10-5B192．168．0．500-90-81-81-fc-1aC192．168．0．600-0a-eb-e9-d0-bdD192．168．0．900-e0-4c-b0-95-f3圖1-1IP地址與MAC對應(yīng)表我們以主機(jī)A〔〕向主機(jī)B〔〕發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時，主機(jī)A會在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。如果找到了，也就知道了目標(biāo)MAC地址，直接把目標(biāo)地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表中沒有找到相對應(yīng)的IP地址，主機(jī)A就會在網(wǎng)絡(luò)上發(fā)送一個播送，目標(biāo)MAC地址是“d.62.22.68”，這表示向同一網(wǎng)段的所有主機(jī)發(fā)出這樣的詢問：“的MAC地址是什么？〞網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng)ARP詢問，只有主機(jī)B接收到這個幀時，才向主機(jī)A做出這樣的回應(yīng)：“”的MAC地址是“00-90-81-81-fc-1a〞從上面可以看出，ARP協(xié)議的根底是信任局域網(wǎng)內(nèi)部所有的人，那么就很容易實現(xiàn)在以太網(wǎng)上的ARP欺騙。對目標(biāo)A進(jìn)行欺騙，A去Pign主機(jī)C卻發(fā)送到了00-e0-4c-b0-95-f3這個地址上。如果進(jìn)行欺騙的時候，把C的MAC地址騙為00-e0-4c-b0-95-f3，于是A發(fā)送到C上的數(shù)據(jù)包都變成發(fā)送給D的了。這不正好是D能夠接收到A發(fā)送的數(shù)據(jù)包了么，嗅探成功。A對這個變化一點都有意識到，但是接下來的事情就讓A產(chǎn)生了疑心。因為A和C連接不上了。D對接收到A發(fā)送給C的數(shù)據(jù)包可沒有轉(zhuǎn)交給C。做“maninthemiddle〞進(jìn)行ARP重定向。翻開D的IP轉(zhuǎn)發(fā)功能，A發(fā)送過來的數(shù)據(jù)包，轉(zhuǎn)發(fā)給C，好比一個路由器一樣。不過，假設(shè)D發(fā)送ICMP重定向的話就中斷了整個方案。D直接進(jìn)行整個包的修改轉(zhuǎn)發(fā)，捕獲到A發(fā)送給C的數(shù)據(jù)包，全部進(jìn)行修改后再轉(zhuǎn)發(fā)給C，而C接收到的數(shù)據(jù)包完全認(rèn)為是從A發(fā)送來的。不過，C發(fā)送的數(shù)據(jù)包又直接傳遞給A，倘假設(shè)再次進(jìn)行對C的ARP欺騙?，F(xiàn)在D就完全成為A與C的中間橋梁了，對于A和C之間的通迅就可以了如指掌了。1.3故障現(xiàn)象當(dāng)局域網(wǎng)內(nèi)某臺主機(jī)運(yùn)行ARP欺騙的木馬程序時，會欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機(jī)。其他用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機(jī)上網(wǎng)，切換的時候用戶會斷一次線。切換到病毒主機(jī)上網(wǎng)后，如果用戶已經(jīng)登陸了傳奇效勞器，那么病毒主機(jī)就會經(jīng)常偽造斷線的假像，那么用戶就得重新登錄傳奇效勞器，這樣病毒主機(jī)就可以盜號了。由于ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會感覺上網(wǎng)速度越來越慢。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時，用戶會恢復(fù)從路由器上網(wǎng)，切換過程中用戶會再斷一次線。1.4解決思路(1)不要把你的網(wǎng)絡(luò)平安信任關(guān)系建立在IP根底上或MAC根底上，〔rarp同樣存在欺騙的問題〕，理想的關(guān)系應(yīng)該建立在IP+MAC根底上。(2)設(shè)置靜態(tài)的MAC-->IP對應(yīng)表，不要讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表。(3)除非很有必要，否那么停止使用ARP，將ARP做為永久條目保存在對應(yīng)表中。(4)使用ARP效勞器，通過該效勞器查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機(jī)器的ARP播送。確保這臺ARP效勞器不被黑。(5)使用“proxy〞代理IP的傳輸。(6)使用硬件屏蔽主機(jī)。設(shè)置好你的路由，確保IP地址能到達(dá)合法的路徑?！察o態(tài)由ARP條目〕，注意，使用交換線器和網(wǎng)橋無法阻止ARP欺騙。(7)管理員定期用響應(yīng)的IP包中獲得一個rarp請求，然后檢查ARP響應(yīng)的真實性。(8)管理員定期輪詢，檢查主機(jī)上的ARP緩存。(9)使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。注意有使用SNMP的情況下，ARP的欺騙有可能導(dǎo)致陷阱包喪失。2路由器ARP表綁定設(shè)置ARP綁定是防止ARP欺騙的有效方法，就是把IP地址與相應(yīng)的MAC地址進(jìn)行綁定來防止ARP欺騙。進(jìn)行ARP綁定前首先要確定網(wǎng)絡(luò)是正常運(yùn)行的，然后再ARP綁定。具體設(shè)置如下：(1)啟用ARP綁定功能。(2)默認(rèn)情況下ARP綁定功能是關(guān)閉的，首先要啟用ARP綁定功能，翻開路由器的管理界面，選擇“MAC地址綁定〞。在下列圖2-1所示的界面，勾中“啟用ARP綁定〞，點擊“保存〞。圖2-1ARP綁定界面(3)選擇“ARP映射表〞，翻開如下列圖2-2界面。圖2-2ARP映射表這里可以看到當(dāng)前路由器自動獲取的局域網(wǎng)內(nèi)計算機(jī)的IP地址與MAC地址的映射表。如果確認(rèn)這個表是正確的〔如果所有的計算機(jī)都可以正常上網(wǎng)，MAC地址沒有重復(fù)，這個表般就沒有錯了，如果計算機(jī)中了ARP病毒，可以檢查這個ARP表看MAC地址有沒有相同的，假設(shè)有相同的，那么這些主機(jī)都不能正常訪問網(wǎng)絡(luò)，要檢查這些主機(jī)，使用DOS命令行的arp–d命令去除主機(jī)的ARP表〕，可以選擇某個條目后面的“綁定〞操作進(jìn)行單獨的MAC地址綁定，也可以通過點擊“全部綁定〞把ARP表中的所有條目綁定。如果綁定成功的就會看到“狀態(tài)〞那一欄“未綁定〞已變成“已綁定〞。為了讓路由器重啟后這些綁定條目仍然有效，可以選擇“全部導(dǎo)入〞把這些條目存入靜態(tài)ARP表，翻開“ARP綁定〞設(shè)置，可以看到一個靜態(tài)的ARP映射表已經(jīng)建立。如果已經(jīng)知道局域網(wǎng)內(nèi)的計算機(jī)的MAC地址，也可以在這里手工輸入MAC地址、IP地址來添加靜態(tài)的ARP映射條目。如圖2-3所示：圖2-3ARP靜態(tài)綁定設(shè)置對于這個靜態(tài)ARP映射表，您可以進(jìn)行修改、刪除、取消綁定等操作。點擊條目右邊的“修改〞就可以修改該條目的IP地址、MAC地址和綁定狀態(tài)，“刪除〞刪掉該條目?？梢渣c擊“取消所有綁定〞把ARP表中的所有條目暫時取消，當(dāng)需要的時候點擊“綁定所有條目〞就可以重新綁定這些條目。當(dāng)您不在需要這個靜態(tài)ARP表的時候點擊“刪除所有條目〞刪除整個ARP表。如圖2-4所示：圖2-4ARP綁定、修改、刪除注意：(1)進(jìn)行綁定置前要確認(rèn)ARP表是正確的。(2)盡量手工設(shè)置IP地址，如果是采用DHCP動態(tài)獲取IP地址，以后可能會出現(xiàn)獲取到的地址與當(dāng)前綁定的地址不一致而導(dǎo)致某些計算機(jī)不能上網(wǎng)。(3)當(dāng)更換計算機(jī)時要更新靜態(tài)的ARP映射表。否那么更換了網(wǎng)卡的機(jī)子的ARP地址與ARP表中的不一致，也會無上網(wǎng)。3ICMP協(xié)議的概述對于TCP/IP協(xié)議我們一定非常熟悉，但是對ICMP協(xié)議可能不是太了解。ICMP協(xié)議是一個非常重要的協(xié)議，它對于網(wǎng)絡(luò)平安具有極其重要的意義。ICMP協(xié)議本身的特點決定了它非常容易被用于攻擊網(wǎng)絡(luò)上的路由和主機(jī)。3.1什么是ICMP協(xié)議ICMP是“InternetControlMessageProtocol〞(Internet控制消息協(xié)議)的縮寫。它是TCP/IP協(xié)議族的一個子協(xié)議，用于在IP主機(jī)、路由器之間傳遞控制消息?？刂葡⑹侵妇W(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對于用戶數(shù)據(jù)的傳遞起著重要的作用。我們在網(wǎng)絡(luò)中經(jīng)常會使用到ICMP協(xié)議，只不過我們覺察不到而已。比方我們經(jīng)常用的用于檢查網(wǎng)絡(luò)通不通的Ping命令，這個“Ping〞的過程實際上就是ICMP協(xié)議的過程。還有其他的網(wǎng)絡(luò)命令如跟蹤路由的Tracert命令也是基于ICMP協(xié)議的。從因特網(wǎng)的角度看，因特網(wǎng)是由收發(fā)數(shù)據(jù)的主機(jī)和中轉(zhuǎn)數(shù)據(jù)的路由器組成。在通信系統(tǒng)中，IP協(xié)議被用來實現(xiàn)主機(jī)之間的數(shù)據(jù)報傳遞，而路由器用來連接網(wǎng)絡(luò)設(shè)備。但是，IP通信過程中總會碰上各種各樣的原因?qū)е峦ㄐ攀?，比方：目的地址不正確。IP協(xié)議雖然提供盡力傳遞的能力，但并不表示數(shù)據(jù)報一定能夠投遞到目的地，并且IP協(xié)議并不負(fù)責(zé)數(shù)據(jù)報的喪失、重復(fù)、延遲和亂序等情況。因此為了提高IP數(shù)據(jù)報交付成功的時機(jī)，反映數(shù)據(jù)報的投遞情況，因特網(wǎng)增加了因特序等情況，因此為了提高IP數(shù)據(jù)報交付成功的時機(jī)，反映數(shù)據(jù)報的投遞情況，因特網(wǎng)增加了因特網(wǎng)控制報文協(xié)議〔ICMP〕，來向源發(fā)主機(jī)告知網(wǎng)絡(luò)環(huán)境中出現(xiàn)的問題。引進(jìn)ICMP協(xié)議后，當(dāng)某個網(wǎng)關(guān)發(fā)現(xiàn)傳輸錯誤時，會立即向信源主機(jī)發(fā)送ICMP報文，自動返回有用的描述錯誤的信息，報告出錯情況，信源主機(jī)必須將有關(guān)的過失交給一個應(yīng)用程序或采取其他措施來糾正問題。引進(jìn)ICMP協(xié)議還可以獲得網(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息，幫助網(wǎng)絡(luò)管理員了解網(wǎng)絡(luò)狀況。因此，ICMP報文雖然并不傳輸用戶數(shù)據(jù)，但是對于用戶數(shù)據(jù)的傳遞起著重要的作用。ICMP主要是由連接在因特網(wǎng)上的某個結(jié)點〔一般為路由器〕檢測到IP數(shù)據(jù)因為某種原因無法繼續(xù)轉(zhuǎn)發(fā)或投遞時啟動ICMP報文的傳輸，一般ICMP消息在以下幾種情況下會被發(fā)送出來：(1)當(dāng)數(shù)據(jù)報不能到達(dá)目的地時。(2)當(dāng)網(wǎng)親失去緩存和轉(zhuǎn)發(fā)數(shù)據(jù)報功能時。(3)當(dāng)網(wǎng)關(guān)發(fā)現(xiàn)并能夠引導(dǎo)主機(jī)在更短的路由上發(fā)送數(shù)據(jù)報時。ICMP協(xié)議，雖然在實際上它使用IP作為底層支持，但實際上它是IP的一局部，所有系統(tǒng)的IP模塊必須實現(xiàn)這個協(xié)議。ICMP報文的最終目標(biāo)不是應(yīng)用程序或目的用戶，而是該機(jī)上處理它的Internet協(xié)議軟件模塊。也就是說：Inetrnet控制報文協(xié)議允許路由向其它路由器或主機(jī)發(fā)送過失或控制報文；ICMP在兩臺主機(jī)的Internet協(xié)議軟件之間提供通信。3.2ICMP的消息格式和代碼組合像其它所有的通信業(yè)務(wù)一樣，ICMP報文是放在一個IP數(shù)據(jù)報的數(shù)據(jù)局部中傳送的。ICMP報文要求兩級封裝，如圖3-1所示。每個ICMP報文放在IP數(shù)據(jù)報的數(shù)據(jù)局部中通過互聯(lián)網(wǎng)，而數(shù)據(jù)報本身放在幀的數(shù)據(jù)局部中通過物理網(wǎng)絡(luò)。攜帶IMCP報文的IP數(shù)據(jù)報在傳輸過程中不具有任何優(yōu)先級，與正常的IP數(shù)據(jù)報一樣進(jìn)行轉(zhuǎn)發(fā)，唯一不同的是如果攜帶ICMP報文的IP數(shù)據(jù)報在傳輸過程中出現(xiàn)故障，轉(zhuǎn)發(fā)該IP數(shù)據(jù)報的路由將不產(chǎn)生任何關(guān)于該過失的報文。圖3-1ICMP保溫的兩級封裝從上圖中可以看出ICMP消息格式為IP頭加上自己的消息包，簡單的說就是：IPHeader+ICMPMessage，ICMPMessage=Type〔1〕+Code〔1〕+CheckSum〔2〕+others每個ICMP報文都以相同的3個字段開始：1個16位校驗和字段用來識別報文，1個8位的代碼〔CODE〕字段提供有關(guān)報文類型的進(jìn)一步信息，1個16位驗證字段。CODE域的值在不同的TYPE下有不同的解釋，而OTHERS局部那么根據(jù)TYPE的不同而不同，所以，數(shù)據(jù)長度是跟ICMP報文的類型有關(guān)。此外，報告過失的ICMP報文還總是包括產(chǎn)生問題的數(shù)據(jù)報首部用其開頭的8個字節(jié)的數(shù)據(jù)。在過失報告中返回8字節(jié)用戶數(shù)據(jù)，可以使得接收方能夠更精確地判斷是哪個應(yīng)用程序?qū)υ摂?shù)據(jù)報負(fù)責(zé)。下表列出了局部ICMP消息中類型和代碼的組合：表3-1ICMP消息類型和代碼組合類型代碼描述00回應(yīng)應(yīng)答〔Ping，與類型8的Ping請求一起使用〕30～15目的不可達(dá)40源端被關(guān)閉〔根本流控制〕50～3重定向80回應(yīng)請求〔Ping請求，與類型0的Ping應(yīng)答一起使用〕90路由器請求〔與類型10一起使用〕100路由器請求〔與類型9一起使用〕110～1超時120～1參數(shù)問題130時間戳請求〔與類型14一起使用〕140時間戳應(yīng)答〔與類型13一起使用〕170地址掩碼請求〔與類型18一起使用〕180地址掩碼應(yīng)答〔與類型17一起使用〕3.3使用ICMP協(xié)議搜集信息ICMP的使用者主要是路由器,接收者為IP數(shù)據(jù)報的源發(fā)主機(jī)端,但也可以由主機(jī)向一個特定的目的主機(jī)發(fā)出查詢報文。ICMP協(xié)議有一個特點—它是面向無連接的，也就是說只要發(fā)送端完成ICMP報文的封裝并傳遞給路由器，這個報方將會像郵包一樣自己去尋找目的地址，這個特點使得ICMP協(xié)議非常靈活快捷，但是同時也帶來一個致命的缺陷—易偽造，任何人都可以偽造一個ICMP報文并發(fā)送出去。根據(jù)這個原理，出現(xiàn)了不少基于ICMP的攻擊軟件，有制造ICMP風(fēng)暴；有使用非常大的報文堵塞網(wǎng)絡(luò)的；有利用ICMP碎片攻擊消耗效勞器CPU的；有掃描網(wǎng)絡(luò)，為發(fā)動Dos攻擊搜集信息的。一般黑客入侵之前，要先對目標(biāo)主機(jī)進(jìn)行詳盡的分析，找出主機(jī)可以利用的平安漏洞或弱點，然后乘虛而入。在這里我們利用ICMP協(xié)議的不同類型可以搜集目標(biāo)主機(jī)的很多信息：(1)網(wǎng)絡(luò)Ping掃射，尋找活動主機(jī)獲取一個真實網(wǎng)絡(luò)的最根本步驟之一是在某一個IP地址和網(wǎng)絡(luò)塊范圍內(nèi)執(zhí)行一輪自動Ping掃射，以確定某個具體的系統(tǒng)是否存活。Ping命令，就是向某個目標(biāo)發(fā)送響應(yīng)請求〔Type=8〕報文，并期待由此產(chǎn)生說明目標(biāo)存活的ICMP應(yīng)答〔Type=0〕報文。一臺主機(jī)向一個節(jié)點發(fā)送一個Type=8的ICMP報文，TCP協(xié)議需要的ICMP消息做出響應(yīng)，如果途中沒有異常〔如果路由器丟棄、目標(biāo)不回應(yīng)ICMP或傳輸失敗〕，那么目標(biāo)返回Type=0的ICMP報文，說明這臺主機(jī)存在。(2)ICMP查詢請某個主機(jī)或路由答復(fù)當(dāng)前的日期和時間。向目的系統(tǒng)發(fā)送時間戳〔Type=13〕報文，請求返回目的系統(tǒng)的時間，可以獲得目標(biāo)系統(tǒng)所在的時區(qū)。從子網(wǎng)掩碼效勞器得到某個接口的地址掩碼。發(fā)送地址屏蔽碼〔Type=17〕報文，請求返回設(shè)備的子網(wǎng)掩碼，據(jù)此可以確定將要用到的所有子網(wǎng)。(3)利用ICMP協(xié)議最根本的用途：報錯，來獲取目標(biāo)主機(jī)的其他信息根據(jù)網(wǎng)絡(luò)協(xié)議，如果按照協(xié)議出現(xiàn)了錯誤，那么接收端將產(chǎn)生一個ICMP的錯誤報文。這此錯誤報文并不是主動發(fā)送的，而是由于錯誤，根據(jù)協(xié)議自動產(chǎn)生。當(dāng)我們設(shè)計一些有缺陷的ICMP報文發(fā)送到目標(biāo)系統(tǒng)后，目標(biāo)將發(fā)回報告錯誤的報文。①向目標(biāo)主機(jī)發(fā)送一個只有IP頭的IP數(shù)據(jù)包，目標(biāo)將返回DestinationUnreachable的ICMP錯誤報文。②向目標(biāo)主機(jī)發(fā)送一個壞IP數(shù)據(jù)報，比方，不正確的IP頭長度，目標(biāo)主機(jī)將返回ParameterProblem的ICMP錯誤報文。③當(dāng)數(shù)據(jù)包分片，但卻沒有給接收端足夠的分片，接收端分片裝超時會發(fā)送分片組裝超時的ICMP數(shù)據(jù)報。④向目標(biāo)主機(jī)發(fā)送一個IP數(shù)據(jù)報，但是協(xié)議是錯誤的，如協(xié)議項不可用，那么目標(biāo)將返回DestinationUnreachable的ICMP報文。但是如是在目標(biāo)主機(jī)前有一個防火墻或者一個其他的過濾裝置，可能過濾掉信源發(fā)出的數(shù)據(jù)包，從而接收不到任何回應(yīng)。如果沒有ICMP數(shù)據(jù)報返回的錯誤提示，那么就說明被防火墻或者其他設(shè)備過濾了，我們也可以用這個方法來探測是否有防火墻或者其他過濾設(shè)備存在。3.4ICMP攻擊及欺騙技術(shù)使用ICMP攻擊的原理實際上就是通過Pign大理的數(shù)據(jù)包使得計算機(jī)的CPU使用率居高不下而崩潰，一般情況下黑客通常在一個時段內(nèi)連續(xù)向計算機(jī)發(fā)出大量的請求而導(dǎo)致CUP占用率太高而死機(jī)?；贗CMP的攻擊可以分為兩大類：一是ICMP攻擊導(dǎo)致拒絕效勞〔DOS〕；另外一個是基于重定向〔redirect〕的路由欺騙技術(shù)。效勞拒絕攻擊是最容易實施的攻擊行為。目前，基于ICMP的攻擊大局部都可以歸類為拒絕效勞攻擊，其又可以分為以下幾類：(1)針對帶寬的DoS攻擊針對帶寬的DoS攻擊，主要是利用無用的數(shù)據(jù)來耗盡網(wǎng)絡(luò)帶寬。Pingflood、pong、echok、flushot、fraggle和bloop是常用的ICMP攻擊工具。通過高速度的ICMPEchoReply數(shù)據(jù)包，目標(biāo)網(wǎng)絡(luò)的帶寬瞬間就會被耗盡，阻止合法的數(shù)據(jù)通過網(wǎng)絡(luò)。ICMPEchoReply數(shù)據(jù)包具有較高的優(yōu)先級，在一般情況下，網(wǎng)絡(luò)總是允許內(nèi)部主機(jī)使用PING命令。這種攻擊僅限于攻擊網(wǎng)絡(luò)帶寬，單個攻擊都就能發(fā)起這種攻擊。當(dāng)攻擊目標(biāo)的各項性能指標(biāo)不高時，如CPU速度低，內(nèi)存小或者網(wǎng)絡(luò)帶寬小，這種攻擊效果是明顯的。更厲害的攻擊形式，可以使整個子網(wǎng)內(nèi)的主機(jī)對目標(biāo)主機(jī)進(jìn)行攻擊，從而擴(kuò)大ICMP流量，形成Ddos攻擊。使用適當(dāng)?shù)穆酚蛇^濾那么可以局部防止此類攻擊，如果完全防止這種攻擊，就需要使用基于狀態(tài)檢測的防火墻。(2)針對連接的DoS攻擊針對連接的DoS攻擊，可以終止有的網(wǎng)絡(luò)連接。針對的網(wǎng)絡(luò)連接的IP設(shè)備，因為它使用了合法的ICMP消息。Nuke通過發(fā)送一個偽造的ICMPDestinationUnreachable或者Redirect消息來終止合法的網(wǎng)絡(luò)連接.更具有惡意的攻擊,如puke和smack,會給某一個范圍內(nèi)的端口發(fā)送大量的數(shù)據(jù)包,毀掉大量的網(wǎng)絡(luò)連接,同時還會消耗受害主機(jī)CPU的時鐘周期。還有一些攻擊使用ICMPSourceQuench消息，導(dǎo)致網(wǎng)絡(luò)流量變慢，甚至停止。Redirect和RouterAnnouncement消息被利用來強(qiáng)制受害主機(jī)使用一個并不存在的路由器,或者把數(shù)據(jù)包路由到攻擊者的機(jī)器,進(jìn)行攻擊。針對連接的DoS攻擊不能通過打補(bǔ)丁的方式加以解決，通過過濾適當(dāng)?shù)腎CMP消息類型，一般防火墻可以阻止此類攻擊。4配置系統(tǒng)帶的默認(rèn)防火墻以預(yù)防攻擊雖然很多防火墻可以對ICMP數(shù)據(jù)包進(jìn)行過濾,但沒有安裝防火墻的主機(jī),我們可以使用系統(tǒng)自帶的防火墻.配置系統(tǒng)自帶的默認(rèn)防火墻的方法如下(以WindowsXP為例):(1)翻開在電腦的桌面,右鍵點擊“開始→連接到→顯示所有連接→本地連接→屬性→Internet協(xié)議(TCP/IP)→屬性→高級→選項-TCP/IP篩選-屬性〞如下列圖4-1所示：(2)在“TCP/IP篩選〞窗口中，點擊選中“啟用TCP/IP篩選〔所有適配器〕〞。然后分別在“TCP端口、UDP端口和IP協(xié)議〞的添加框上，點擊“只允許〞，后按添加按鈕，然后在跳出的對話框中輸入端口，通常我們用來上網(wǎng)的端口是：80、8080，而郵件效勞器的端口是：25、110，F(xiàn)TP的端口是20、21，同樣將UDP端口和IP協(xié)議相關(guān)進(jìn)行添加。如圖4-2所示：圖4-2TCP/IP篩選(3)翻開“控制面板→性能管理→管理工具→本地平安策略〞，然然右鍵單擊“IP平安策略，在本地機(jī)器〞選“管理IP篩選器和IP篩選器操作〞，在“管理IP篩選器和