論文ARP欺騙及ICMP攻擊技術(shù)分析

菏澤學(xué)院Heze專(zhuān)科生畢業(yè)設(shè)計(jì)〔論文〕題目ARP欺騙及ICMP攻擊技術(shù)分析姓名鄭曉曉學(xué)號(hào)2007130095系別計(jì)算機(jī)與信息工程系專(zhuān)業(yè)計(jì)算機(jī)應(yīng)用技術(shù)指導(dǎo)教師蘇軍職稱(chēng)2010年5月30日菏澤學(xué)院教務(wù)處制摘要ARP欺騙及ICMP攻擊是以太網(wǎng)中常用的攻擊手段，兩者都可對(duì)目的網(wǎng)絡(luò)進(jìn)行DOS〔拒絕效勞〕帶寬攻擊。通過(guò)分析防范應(yīng)對(duì)措施方面的異同得出實(shí)施ARP欺騙更容易到達(dá)帶寬攻擊的結(jié)論。拒絕效勞〔DenialofService,Dos〕攻擊，指利用TCP/IP協(xié)議的缺陷攻擊目標(biāo)主機(jī)或網(wǎng)絡(luò)，使之無(wú)法提供正常的效勞或資源訪問(wèn)，其根本目的是使受害主機(jī)或網(wǎng)絡(luò)無(wú)法及時(shí)接收并處理外界請(qǐng)求，或無(wú)法及回應(yīng)外界請(qǐng)求。DOS攻擊主要分為網(wǎng)絡(luò)的帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶(hù)請(qǐng)求無(wú)法通過(guò)。連通性攻擊指用大量的連接請(qǐng)求沖計(jì)算機(jī)，使得可用的操作系統(tǒng)資源都被消耗殆盡，最終使計(jì)算機(jī)無(wú)法處理合法用戶(hù)的請(qǐng)求。ARP欺騙和ICMP攻擊的實(shí)施方法，由于路由器、防火墻等網(wǎng)絡(luò)設(shè)備對(duì)接收到的ICMP數(shù)據(jù)包設(shè)置了嚴(yán)格的平安策略，而ARP欺騙又主要應(yīng)用天平安性較差的局域網(wǎng)中，因此ARP欺騙在帶寬攻擊方面實(shí)施起來(lái)比ICMP攻擊更容易些。對(duì)于ICMP的攻擊，選擇適宜的防火墻有效防止ICMP攻擊，防火墻具有狀態(tài)檢測(cè)、細(xì)致的數(shù)據(jù)完整性檢查和很好的過(guò)濾規(guī)那么控制功能。AbstractTheARPdeceitandtheICMPattackareintheethernetthecommonlyusedattackmethod,bothallmaycarryonDOStothegoalnetwork(torefusetoserve)thebandwidthattack.ShouldobtainthroughtheanalysisguardtothemeasureaspectsimilaritiesanddifferencesimplementstheARPdeceittobeeasiertoachievethebandwidthattacktheconclusion.Refusestoserve(DenialofService,Dos)attack,refersusestheTCP/IPagreementtheflawattackgoalmainengineorthenetwork,causesittobeunabletoprovidethenormalserviceortheresourcesvisit,itsprimarypurposeiscausestosufferinjurythemainengineorthenetworkisunabletoreceivepromptlyandprocessestheoutsidetorequest,orisunableandtheresponseoutsiderequest.TheDOSattackmainlydividesintothenetworkthebandwidthattackandtheconnectiveattack.Thebandwidthattackrefersbytheenormouscommunicationloadimpactnetwork,causesthenetworkresourcesalltoconsumethedanger,finallycausesthelegitimateusertorequestisunabletopass.Theconnectiveattackreferswiththemassiveconnectionrequestflushesthecomputer,causestheavailableoperatingsystemresourcesalltoconsumethedanger,finallycausesthecomputertobeunabletoprocessthevalidatedusertherequest.ARPdeceitandICMPattackimplementationmethod,becausenetworkequipmentdockingandsoonrouter,firewallreceivestheICMPdatapackethasestablishedthestrictsecuritypolicy,buttheARPdeceitmainlyappliesinthedaysecuritybadlocalareanetwork,thereforetheARPdeceitimplementsinthebandwidthattackaspectiseasierthantheICMPattack.RegardingtheICMPattack,choosestheappropriatefirewalltopreventeffectivelyICMPattacks,thefirewallhastheconditionexamination,thecarefuldataintegrityinspectionandtheverygoodfiltrationrulecontrolfunction.關(guān)鍵詞：ARP欺騙及ICMP攻擊分析平安目錄TOC\o"1-2"\h\z\u摘要 iiAbstract ii1ARP欺騙概述 11.1ARP協(xié)議 11.2解決ARP攻擊的方法 11.3故障現(xiàn)象 21.4解決思路 32路由器ARP表綁定設(shè)置 43ICMP協(xié)議的概述 73.1什么是ICMP協(xié)議 73.2ICMP的消息格式和代碼組合 83.3使用ICMP協(xié)議搜集信息 93.4ICMP攻擊及欺騙技術(shù) 104配置系統(tǒng)帶的默認(rèn)防火墻以預(yù)防攻擊 125結(jié)論 186參考文獻(xiàn) 197致謝 191ARP欺騙概述在實(shí)際網(wǎng)絡(luò)的鏈路上傳送數(shù)據(jù)幀時(shí)，是采用硬件地址來(lái)尋址，地址解析協(xié)議(AddressResolutionProtocol,ARP)解決了從IP地址到硬件地址的映射問(wèn)題。比方，源主機(jī)欲向本網(wǎng)內(nèi)的主機(jī)發(fā)送數(shù)據(jù)包時(shí)，先在源主機(jī)的ARP高速緩存中查看有無(wú)目的主機(jī)的硬件地址，如存在，就將目的主機(jī)的硬件地址寫(xiě)入MAC幀并發(fā)送；如不存在，源主機(jī)自動(dòng)在網(wǎng)內(nèi)播送一個(gè)ARP請(qǐng)求報(bào)文來(lái)獲得目的主機(jī)的硬件地址。網(wǎng)內(nèi)的所有主機(jī)都收到此ARP請(qǐng)求，只有目的主機(jī)才會(huì)發(fā)回一個(gè)ARP響應(yīng)報(bào)文，并寫(xiě)入自己的硬件地址。當(dāng)源主機(jī)收到目的主機(jī)的ARP響應(yīng)后，就在其ARP高速緩存中寫(xiě)入目的主機(jī)的IP地址到硬件地址的映射。ARP協(xié)議的無(wú)連接、無(wú)認(rèn)證特性，使得局域網(wǎng)中的任何主機(jī)可隨意發(fā)送ARP請(qǐng)求包，也可以接收ARP應(yīng)答包，并且無(wú)條件的根據(jù)應(yīng)答包內(nèi)的內(nèi)容刷新本機(jī)的ARP緩存，因此ARP欺騙廣泛用于交換式以太網(wǎng)絡(luò)中。1.1ARP協(xié)議ARP協(xié)議是“AddressResolutionProtocol〞(地址解析協(xié)議)的縮寫(xiě)。在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫?，幀里面是有目?biāo)主機(jī)的MAC地址。在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)的MAC。但這個(gè)目標(biāo)MAC地址是如何獲得的呢？它就是通過(guò)地址解析協(xié)議獲得的。ARP協(xié)議的根本功能就是通過(guò)目標(biāo)設(shè)備的IP地址，查詢(xún)目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。1.2解決ARP攻擊的方法舉一個(gè)簡(jiǎn)單的ARP欺騙的例子：每臺(tái)安裝有TCP/IP協(xié)議的電腦里都有一個(gè)ARP緩存表，表里的IP地址與MAC地址是一一對(duì)應(yīng)的，如圖1-1所示：主機(jī)IP地址MAC地址A192．168．0．200-10-5B192．168．0．500-90-81-81-fc-1aC192．168．0．600-0a-eb-e9-d0-bdD192．168．0．900-e0-4c-b0-95-f3圖1-1IP地址與MAC對(duì)應(yīng)表我們以主機(jī)A〔〕向主機(jī)B〔〕發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時(shí)，主機(jī)A會(huì)在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。如果找到了，也就知道了目標(biāo)MAC地址，直接把目標(biāo)地址寫(xiě)入幀里面發(fā)送就可以了；如果在ARP緩存表中沒(méi)有找到相對(duì)應(yīng)的IP地址，主機(jī)A就會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)播送，目標(biāo)MAC地址是“d.62.22.68”，這表示向同一網(wǎng)段的所有主機(jī)發(fā)出這樣的詢(xún)問(wèn)：“的MAC地址是什么？〞網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng)ARP詢(xún)問(wèn)，只有主機(jī)B接收到這個(gè)幀時(shí)，才向主機(jī)A做出這樣的回應(yīng)：“”的MAC地址是“00-90-81-81-fc-1a〞從上面可以看出，ARP協(xié)議的根底是信任局域網(wǎng)內(nèi)部所有的人，那么就很容易實(shí)現(xiàn)在以太網(wǎng)上的ARP欺騙。對(duì)目標(biāo)A進(jìn)行欺騙，A去Pign主機(jī)C卻發(fā)送到了00-e0-4c-b0-95-f3這個(gè)地址上。如果進(jìn)行欺騙的時(shí)候，把C的MAC地址騙為00-e0-4c-b0-95-f3，于是A發(fā)送到C上的數(shù)據(jù)包都變成發(fā)送給D的了。這不正好是D能夠接收到A發(fā)送的數(shù)據(jù)包了么，嗅探成功。A對(duì)這個(gè)變化一點(diǎn)都有意識(shí)到，但是接下來(lái)的事情就讓A產(chǎn)生了疑心。因?yàn)锳和C連接不上了。D對(duì)接收到A發(fā)送給C的數(shù)據(jù)包可沒(méi)有轉(zhuǎn)交給C。做“maninthemiddle〞進(jìn)行ARP重定向。翻開(kāi)D的IP轉(zhuǎn)發(fā)功能，A發(fā)送過(guò)來(lái)的數(shù)據(jù)包，轉(zhuǎn)發(fā)給C，好比一個(gè)路由器一樣。不過(guò)，假設(shè)D發(fā)送ICMP重定向的話就中斷了整個(gè)方案。D直接進(jìn)行整個(gè)包的修改轉(zhuǎn)發(fā)，捕獲到A發(fā)送給C的數(shù)據(jù)包，全部進(jìn)行修改后再轉(zhuǎn)發(fā)給C，而C接收到的數(shù)據(jù)包完全認(rèn)為是從A發(fā)送來(lái)的。不過(guò)，C發(fā)送的數(shù)據(jù)包又直接傳遞給A，倘假設(shè)再次進(jìn)行對(duì)C的ARP欺騙?，F(xiàn)在D就完全成為A與C的中間橋梁了，對(duì)于A和C之間的通迅就可以了如指掌了。1.3故障現(xiàn)象當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序時(shí)，會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器，讓所有上網(wǎng)的流量必須經(jīng)過(guò)病毒主機(jī)。其他用戶(hù)原來(lái)直接通過(guò)路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過(guò)病毒主機(jī)上網(wǎng)，切換的時(shí)候用戶(hù)會(huì)斷一次線。切換到病毒主機(jī)上網(wǎng)后，如果用戶(hù)已經(jīng)登陸了傳奇效勞器，那么病毒主機(jī)就會(huì)經(jīng)常偽造斷線的假像，那么用戶(hù)就得重新登錄傳奇效勞器，這樣病毒主機(jī)就可以盜號(hào)了。由于ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶(hù)會(huì)感覺(jué)上網(wǎng)速度越來(lái)越慢。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí)，用戶(hù)會(huì)恢復(fù)從路由器上網(wǎng)，切換過(guò)程中用戶(hù)會(huì)再斷一次線。1.4解決思路(1)不要把你的網(wǎng)絡(luò)平安信任關(guān)系建立在IP根底上或MAC根底上，〔rarp同樣存在欺騙的問(wèn)題〕，理想的關(guān)系應(yīng)該建立在IP+MAC根底上。(2)設(shè)置靜態(tài)的MAC-->IP對(duì)應(yīng)表，不要讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表。(3)除非很有必要，否那么停止使用ARP，將ARP做為永久條目保存在對(duì)應(yīng)表中。(4)使用ARP效勞器，通過(guò)該效勞器查找自己的ARP轉(zhuǎn)換表來(lái)響應(yīng)其他機(jī)器的ARP播送。確保這臺(tái)ARP效勞器不被黑。(5)使用“proxy〞代理IP的傳輸。(6)使用硬件屏蔽主機(jī)。設(shè)置好你的路由，確保IP地址能到達(dá)合法的路徑。〔靜態(tài)由ARP條目〕，注意，使用交換線器和網(wǎng)橋無(wú)法阻止ARP欺騙。(7)管理員定期用響應(yīng)的IP包中獲得一個(gè)rarp請(qǐng)求，然后檢查ARP響應(yīng)的真實(shí)性。(8)管理員定期輪詢(xún)，檢查主機(jī)上的ARP緩存。(9)使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。注意有使用SNMP的情況下，ARP的欺騙有可能導(dǎo)致陷阱包喪失。2路由器ARP表綁定設(shè)置ARP綁定是防止ARP欺騙的有效方法，就是把IP地址與相應(yīng)的MAC地址進(jìn)行綁定來(lái)防止ARP欺騙。進(jìn)行ARP綁定前首先要確定網(wǎng)絡(luò)是正常運(yùn)行的，然后再ARP綁定。具體設(shè)置如下：(1)啟用ARP綁定功能。(2)默認(rèn)情況下ARP綁定功能是關(guān)閉的，首先要啟用ARP綁定功能，翻開(kāi)路由器的管理界面，選擇“MAC地址綁定〞。在下列圖2-1所示的界面，勾中“啟用ARP綁定〞，點(diǎn)擊“保存〞。圖2-1ARP綁定界面(3)選擇“ARP映射表〞，翻開(kāi)如下列圖2-2界面。圖2-2ARP映射表這里可以看到當(dāng)前路由器自動(dòng)獲取的局域網(wǎng)內(nèi)計(jì)算機(jī)的IP地址與MAC地址的映射表。如果確認(rèn)這個(gè)表是正確的〔如果所有的計(jì)算機(jī)都可以正常上網(wǎng)，MAC地址沒(méi)有重復(fù)，這個(gè)表般就沒(méi)有錯(cuò)了，如果計(jì)算機(jī)中了ARP病毒，可以檢查這個(gè)ARP表看MAC地址有沒(méi)有相同的，假設(shè)有相同的，那么這些主機(jī)都不能正常訪問(wèn)網(wǎng)絡(luò)，要檢查這些主機(jī)，使用DOS命令行的arp–d命令去除主機(jī)的ARP表〕，可以選擇某個(gè)條目后面的“綁定〞操作進(jìn)行單獨(dú)的MAC地址綁定，也可以通過(guò)點(diǎn)擊“全部綁定〞把ARP表中的所有條目綁定。如果綁定成功的就會(huì)看到“狀態(tài)〞那一欄“未綁定〞已變成“已綁定〞。為了讓路由器重啟后這些綁定條目仍然有效，可以選擇“全部導(dǎo)入〞把這些條目存入靜態(tài)ARP表，翻開(kāi)“ARP綁定〞設(shè)置，可以看到一個(gè)靜態(tài)的ARP映射表已經(jīng)建立。如果已經(jīng)知道局域網(wǎng)內(nèi)的計(jì)算機(jī)的MAC地址，也可以在這里手工輸入MAC地址、IP地址來(lái)添加靜態(tài)的ARP映射條目。如圖2-3所示：圖2-3ARP靜態(tài)綁定設(shè)置對(duì)于這個(gè)靜態(tài)ARP映射表，您可以進(jìn)行修改、刪除、取消綁定等操作。點(diǎn)擊條目右邊的“修改〞就可以修改該條目的IP地址、MAC地址和綁定狀態(tài)，“刪除〞刪掉該條目?？梢渣c(diǎn)擊“取消所有綁定〞把ARP表中的所有條目暫時(shí)取消，當(dāng)需要的時(shí)候點(diǎn)擊“綁定所有條目〞就可以重新綁定這些條目。當(dāng)您不在需要這個(gè)靜態(tài)ARP表的時(shí)候點(diǎn)擊“刪除所有條目〞刪除整個(gè)ARP表。如圖2-4所示：圖2-4ARP綁定、修改、刪除注意：(1)進(jìn)行綁定置前要確認(rèn)ARP表是正確的。(2)盡量手工設(shè)置IP地址，如果是采用DHCP動(dòng)態(tài)獲取IP地址，以后可能會(huì)出現(xiàn)獲取到的地址與當(dāng)前綁定的地址不一致而導(dǎo)致某些計(jì)算機(jī)不能上網(wǎng)。(3)當(dāng)更換計(jì)算機(jī)時(shí)要更新靜態(tài)的ARP映射表。否那么更換了網(wǎng)卡的機(jī)子的ARP地址與ARP表中的不一致，也會(huì)無(wú)上網(wǎng)。3ICMP協(xié)議的概述對(duì)于TCP/IP協(xié)議我們一定非常熟悉，但是對(duì)ICMP協(xié)議可能不是太了解。ICMP協(xié)議是一個(gè)非常重要的協(xié)議，它對(duì)于網(wǎng)絡(luò)平安具有極其重要的意義。ICMP協(xié)議本身的特點(diǎn)決定了它非常容易被用于攻擊網(wǎng)絡(luò)上的路由和主機(jī)。3.1什么是ICMP協(xié)議ICMP是“InternetControlMessageProtocol〞(Internet控制消息協(xié)議)的縮寫(xiě)。它是TCP/IP協(xié)議族的一個(gè)子協(xié)議，用于在IP主機(jī)、路由器之間傳遞控制消息?？刂葡⑹侵妇W(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。這些控制消息雖然并不傳輸用戶(hù)數(shù)據(jù)，但是對(duì)于用戶(hù)數(shù)據(jù)的傳遞起著重要的作用。我們?cè)诰W(wǎng)絡(luò)中經(jīng)常會(huì)使用到ICMP協(xié)議，只不過(guò)我們覺(jué)察不到而已。比方我們經(jīng)常用的用于檢查網(wǎng)絡(luò)通不通的Ping命令，這個(gè)“Ping〞的過(guò)程實(shí)際上就是ICMP協(xié)議的過(guò)程。還有其他的網(wǎng)絡(luò)命令如跟蹤路由的Tracert命令也是基于ICMP協(xié)議的。從因特網(wǎng)的角度看，因特網(wǎng)是由收發(fā)數(shù)據(jù)的主機(jī)和中轉(zhuǎn)數(shù)據(jù)的路由器組成。在通信系統(tǒng)中，IP協(xié)議被用來(lái)實(shí)現(xiàn)主機(jī)之間的數(shù)據(jù)報(bào)傳遞，而路由器用來(lái)連接網(wǎng)絡(luò)設(shè)備。但是，IP通信過(guò)程中總會(huì)碰上各種各樣的原因?qū)е峦ㄐ攀。确剑耗康牡刂凡徽_。IP協(xié)議雖然提供盡力傳遞的能力，但并不表示數(shù)據(jù)報(bào)一定能夠投遞到目的地，并且IP協(xié)議并不負(fù)責(zé)數(shù)據(jù)報(bào)的喪失、重復(fù)、延遲和亂序等情況。因此為了提高IP數(shù)據(jù)報(bào)交付成功的時(shí)機(jī)，反映數(shù)據(jù)報(bào)的投遞情況，因特網(wǎng)增加了因特序等情況，因此為了提高IP數(shù)據(jù)報(bào)交付成功的時(shí)機(jī)，反映數(shù)據(jù)報(bào)的投遞情況，因特網(wǎng)增加了因特網(wǎng)控制報(bào)文協(xié)議〔ICMP〕，來(lái)向源發(fā)主機(jī)告知網(wǎng)絡(luò)環(huán)境中出現(xiàn)的問(wèn)題。引進(jìn)ICMP協(xié)議后，當(dāng)某個(gè)網(wǎng)關(guān)發(fā)現(xiàn)傳輸錯(cuò)誤時(shí)，會(huì)立即向信源主機(jī)發(fā)送ICMP報(bào)文，自動(dòng)返回有用的描述錯(cuò)誤的信息，報(bào)告出錯(cuò)情況，信源主機(jī)必須將有關(guān)的過(guò)失交給一個(gè)應(yīng)用程序或采取其他措施來(lái)糾正問(wèn)題。引進(jìn)ICMP協(xié)議還可以獲得網(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息，幫助網(wǎng)絡(luò)管理員了解網(wǎng)絡(luò)狀況。因此，ICMP報(bào)文雖然并不傳輸用戶(hù)數(shù)據(jù)，但是對(duì)于用戶(hù)數(shù)據(jù)的傳遞起著重要的作用。ICMP主要是由連接在因特網(wǎng)上的某個(gè)結(jié)點(diǎn)〔一般為路由器〕檢測(cè)到IP數(shù)據(jù)因?yàn)槟撤N原因無(wú)法繼續(xù)轉(zhuǎn)發(fā)或投遞時(shí)啟動(dòng)ICMP報(bào)文的傳輸，一般ICMP消息在以下幾種情況下會(huì)被發(fā)送出來(lái)：(1)當(dāng)數(shù)據(jù)報(bào)不能到達(dá)目的地時(shí)。(2)當(dāng)網(wǎng)親失去緩存和轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)功能時(shí)。(3)當(dāng)網(wǎng)關(guān)發(fā)現(xiàn)并能夠引導(dǎo)主機(jī)在更短的路由上發(fā)送數(shù)據(jù)報(bào)時(shí)。ICMP協(xié)議，雖然在實(shí)際上它使用IP作為底層支持，但實(shí)際上它是IP的一局部，所有系統(tǒng)的IP模塊必須實(shí)現(xiàn)這個(gè)協(xié)議。ICMP報(bào)文的最終目標(biāo)不是應(yīng)用程序或目的用戶(hù)，而是該機(jī)上處理它的Internet協(xié)議軟件模塊。也就是說(shuō)：Inetrnet控制報(bào)文協(xié)議允許路由向其它路由器或主機(jī)發(fā)送過(guò)失或控制報(bào)文；ICMP在兩臺(tái)主機(jī)的Internet協(xié)議軟件之間提供通信。3.2ICMP的消息格式和代碼組合像其它所有的通信業(yè)務(wù)一樣，ICMP報(bào)文是放在一個(gè)IP數(shù)據(jù)報(bào)的數(shù)據(jù)局部中傳送的。ICMP報(bào)文要求兩級(jí)封裝，如圖3-1所示。每個(gè)ICMP報(bào)文放在IP數(shù)據(jù)報(bào)的數(shù)據(jù)局部中通過(guò)互聯(lián)網(wǎng)，而數(shù)據(jù)報(bào)本身放在幀的數(shù)據(jù)局部中通過(guò)物理網(wǎng)絡(luò)。攜帶IMCP報(bào)文的IP數(shù)據(jù)報(bào)在傳輸過(guò)程中不具有任何優(yōu)先級(jí)，與正常的IP數(shù)據(jù)報(bào)一樣進(jìn)行轉(zhuǎn)發(fā)，唯一不同的是如果攜帶ICMP報(bào)文的IP數(shù)據(jù)報(bào)在傳輸過(guò)程中出現(xiàn)故障，轉(zhuǎn)發(fā)該IP數(shù)據(jù)報(bào)的路由將不產(chǎn)生任何關(guān)于該過(guò)失的報(bào)文。圖3-1ICMP保溫的兩級(jí)封裝從上圖中可以看出ICMP消息格式為IP頭加上自己的消息包，簡(jiǎn)單的說(shuō)就是：IPHeader+ICMPMessage，ICMPMessage=Type〔1〕+Code〔1〕+CheckSum〔2〕+others每個(gè)ICMP報(bào)文都以相同的3個(gè)字段開(kāi)始：1個(gè)16位校驗(yàn)和字段用來(lái)識(shí)別報(bào)文，1個(gè)8位的代碼〔CODE〕字段提供有關(guān)報(bào)文類(lèi)型的進(jìn)一步信息，1個(gè)16位驗(yàn)證字段。CODE域的值在不同的TYPE下有不同的解釋?zhuān)鳲THERS局部那么根據(jù)TYPE的不同而不同，所以，數(shù)據(jù)長(zhǎng)度是跟ICMP報(bào)文的類(lèi)型有關(guān)。此外，報(bào)告過(guò)失的ICMP報(bào)文還總是包括產(chǎn)生問(wèn)題的數(shù)據(jù)報(bào)首部用其開(kāi)頭的8個(gè)字節(jié)的數(shù)據(jù)。在過(guò)失報(bào)告中返回8字節(jié)用戶(hù)數(shù)據(jù)，可以使得接收方能夠更精確地判斷是哪個(gè)應(yīng)用程序?qū)υ摂?shù)據(jù)報(bào)負(fù)責(zé)。下表列出了局部ICMP消息中類(lèi)型和代碼的組合：表3-1ICMP消息類(lèi)型和代碼組合類(lèi)型代碼描述00回應(yīng)應(yīng)答〔Ping，與類(lèi)型8的Ping請(qǐng)求一起使用〕30～15目的不可達(dá)40源端被關(guān)閉〔根本流控制〕50～3重定向80回應(yīng)請(qǐng)求〔Ping請(qǐng)求，與類(lèi)型0的Ping應(yīng)答一起使用〕90路由器請(qǐng)求〔與類(lèi)型10一起使用〕100路由器請(qǐng)求〔與類(lèi)型9一起使用〕110～1超時(shí)120～1參數(shù)問(wèn)題130時(shí)間戳請(qǐng)求〔與類(lèi)型14一起使用〕140時(shí)間戳應(yīng)答〔與類(lèi)型13一起使用〕170地址掩碼請(qǐng)求〔與類(lèi)型18一起使用〕180地址掩碼應(yīng)答〔與類(lèi)型17一起使用〕3.3使用ICMP協(xié)議搜集信息ICMP的使用者主要是路由器,接收者為IP數(shù)據(jù)報(bào)的源發(fā)主機(jī)端,但也可以由主機(jī)向一個(gè)特定的目的主機(jī)發(fā)出查詢(xún)報(bào)文。ICMP協(xié)議有一個(gè)特點(diǎn)—它是面向無(wú)連接的，也就是說(shuō)只要發(fā)送端完成ICMP報(bào)文的封裝并傳遞給路由器，這個(gè)報(bào)方將會(huì)像郵包一樣自己去尋找目的地址，這個(gè)特點(diǎn)使得ICMP協(xié)議非常靈活快捷，但是同時(shí)也帶來(lái)一個(gè)致命的缺陷—易偽造，任何人都可以偽造一個(gè)ICMP報(bào)文并發(fā)送出去。根據(jù)這個(gè)原理，出現(xiàn)了不少基于ICMP的攻擊軟件，有制造ICMP風(fēng)暴；有使用非常大的報(bào)文堵塞網(wǎng)絡(luò)的；有利用ICMP碎片攻擊消耗效勞器CPU的；有掃描網(wǎng)絡(luò)，為發(fā)動(dòng)Dos攻擊搜集信息的。一般黑客入侵之前，要先對(duì)目標(biāo)主機(jī)進(jìn)行詳盡的分析，找出主機(jī)可以利用的平安漏洞或弱點(diǎn)，然后乘虛而入。在這里我們利用ICMP協(xié)議的不同類(lèi)型可以搜集目標(biāo)主機(jī)的很多信息：(1)網(wǎng)絡(luò)Ping掃射，尋找活動(dòng)主機(jī)獲取一個(gè)真實(shí)網(wǎng)絡(luò)的最根本步驟之一是在某一個(gè)IP地址和網(wǎng)絡(luò)塊范圍內(nèi)執(zhí)行一輪自動(dòng)Ping掃射，以確定某個(gè)具體的系統(tǒng)是否存活。Ping命令，就是向某個(gè)目標(biāo)發(fā)送響應(yīng)請(qǐng)求〔Type=8〕報(bào)文，并期待由此產(chǎn)生說(shuō)明目標(biāo)存活的ICMP應(yīng)答〔Type=0〕報(bào)文。一臺(tái)主機(jī)向一個(gè)節(jié)點(diǎn)發(fā)送一個(gè)Type=8的ICMP報(bào)文，TCP協(xié)議需要的ICMP消息做出響應(yīng)，如果途中沒(méi)有異?！踩绻酚善鱽G棄、目標(biāo)不回應(yīng)ICMP或傳輸失敗〕，那么目標(biāo)返回Type=0的ICMP報(bào)文，說(shuō)明這臺(tái)主機(jī)存在。(2)ICMP查詢(xún)請(qǐng)某個(gè)主機(jī)或路由答復(fù)當(dāng)前的日期和時(shí)間。向目的系統(tǒng)發(fā)送時(shí)間戳〔Type=13〕報(bào)文，請(qǐng)求返回目的系統(tǒng)的時(shí)間，可以獲得目標(biāo)系統(tǒng)所在的時(shí)區(qū)。從子網(wǎng)掩碼效勞器得到某個(gè)接口的地址掩碼。發(fā)送地址屏蔽碼〔Type=17〕報(bào)文，請(qǐng)求返回設(shè)備的子網(wǎng)掩碼，據(jù)此可以確定將要用到的所有子網(wǎng)。(3)利用ICMP協(xié)議最根本的用途：報(bào)錯(cuò)，來(lái)獲取目標(biāo)主機(jī)的其他信息根據(jù)網(wǎng)絡(luò)協(xié)議，如果按照協(xié)議出現(xiàn)了錯(cuò)誤，那么接收端將產(chǎn)生一個(gè)ICMP的錯(cuò)誤報(bào)文。這此錯(cuò)誤報(bào)文并不是主動(dòng)發(fā)送的，而是由于錯(cuò)誤，根據(jù)協(xié)議自動(dòng)產(chǎn)生。當(dāng)我們?cè)O(shè)計(jì)一些有缺陷的ICMP報(bào)文發(fā)送到目標(biāo)系統(tǒng)后，目標(biāo)將發(fā)回報(bào)告錯(cuò)誤的報(bào)文。①向目標(biāo)主機(jī)發(fā)送一個(gè)只有IP頭的IP數(shù)據(jù)包，目標(biāo)將返回DestinationUnreachable的ICMP錯(cuò)誤報(bào)文。②向目標(biāo)主機(jī)發(fā)送一個(gè)壞IP數(shù)據(jù)報(bào)，比方，不正確的IP頭長(zhǎng)度，目標(biāo)主機(jī)將返回ParameterProblem的ICMP錯(cuò)誤報(bào)文。③當(dāng)數(shù)據(jù)包分片，但卻沒(méi)有給接收端足夠的分片，接收端分片裝超時(shí)會(huì)發(fā)送分片組裝超時(shí)的ICMP數(shù)據(jù)報(bào)。④向目標(biāo)主機(jī)發(fā)送一個(gè)IP數(shù)據(jù)報(bào)，但是協(xié)議是錯(cuò)誤的，如協(xié)議項(xiàng)不可用，那么目標(biāo)將返回DestinationUnreachable的ICMP報(bào)文。但是如是在目標(biāo)主機(jī)前有一個(gè)防火墻或者一個(gè)其他的過(guò)濾裝置，可能過(guò)濾掉信源發(fā)出的數(shù)據(jù)包，從而接收不到任何回應(yīng)。如果沒(méi)有ICMP數(shù)據(jù)報(bào)返回的錯(cuò)誤提示，那么就說(shuō)明被防火墻或者其他設(shè)備過(guò)濾了，我們也可以用這個(gè)方法來(lái)探測(cè)是否有防火墻或者其他過(guò)濾設(shè)備存在。3.4ICMP攻擊及欺騙技術(shù)使用ICMP攻擊的原理實(shí)際上就是通過(guò)Pign大理的數(shù)據(jù)包使得計(jì)算機(jī)的CPU使用率居高不下而崩潰，一般情況下黑客通常在一個(gè)時(shí)段內(nèi)連續(xù)向計(jì)算機(jī)發(fā)出大量的請(qǐng)求而導(dǎo)致CUP占用率太高而死機(jī)?；贗CMP的攻擊可以分為兩大類(lèi)：一是ICMP攻擊導(dǎo)致拒絕效勞〔DOS〕；另外一個(gè)是基于重定向〔redirect〕的路由欺騙技術(shù)。效勞拒絕攻擊是最容易實(shí)施的攻擊行為。目前，基于ICMP的攻擊大局部都可以歸類(lèi)為拒絕效勞攻擊，其又可以分為以下幾類(lèi)：(1)針對(duì)帶寬的DoS攻擊針對(duì)帶寬的DoS攻擊，主要是利用無(wú)用的數(shù)據(jù)來(lái)耗盡網(wǎng)絡(luò)帶寬。Pingflood、pong、echok、flushot、fraggle和bloop是常用的ICMP攻擊工具。通過(guò)高速度的ICMPEchoReply數(shù)據(jù)包，目標(biāo)網(wǎng)絡(luò)的帶寬瞬間就會(huì)被耗盡，阻止合法的數(shù)據(jù)通過(guò)網(wǎng)絡(luò)。ICMPEchoReply數(shù)據(jù)包具有較高的優(yōu)先級(jí)，在一般情況下，網(wǎng)絡(luò)總是允許內(nèi)部主機(jī)使用PING命令。這種攻擊僅限于攻擊網(wǎng)絡(luò)帶寬，單個(gè)攻擊都就能發(fā)起這種攻擊。當(dāng)攻擊目標(biāo)的各項(xiàng)性能指標(biāo)不高時(shí)，如CPU速度低，內(nèi)存小或者網(wǎng)絡(luò)帶寬小，這種攻擊效果是明顯的。更厲害的攻擊形式，可以使整個(gè)子網(wǎng)內(nèi)的主機(jī)對(duì)目標(biāo)主機(jī)進(jìn)行攻擊，從而擴(kuò)大ICMP流量，形成Ddos攻擊。使用適當(dāng)?shù)穆酚蛇^(guò)濾那么可以局部防止此類(lèi)攻擊，如果完全防止這種攻擊，就需要使用基于狀態(tài)檢測(cè)的防火墻。(2)針對(duì)連接的DoS攻擊針對(duì)連接的DoS攻擊，可以終止有的網(wǎng)絡(luò)連接。針對(duì)的網(wǎng)絡(luò)連接的IP設(shè)備，因?yàn)樗褂昧撕戏ǖ腎CMP消息。Nuke通過(guò)發(fā)送一個(gè)偽造的ICMPDestinationUnreachable或者Redirect消息來(lái)終止合法的網(wǎng)絡(luò)連接.更具有惡意的攻擊,如puke和smack,會(huì)給某一個(gè)范圍內(nèi)的端口發(fā)送大量的數(shù)據(jù)包,毀掉大量的網(wǎng)絡(luò)連接,同時(shí)還會(huì)消耗受害主機(jī)CPU的時(shí)鐘周期。還有一些攻擊使用ICMPSourceQuench消息，導(dǎo)致網(wǎng)絡(luò)流量變慢，甚至停止。Redirect和RouterAnnouncement消息被利用來(lái)強(qiáng)制受害主機(jī)使用一個(gè)并不存在的路由器,或者把數(shù)據(jù)包路由到攻擊者的機(jī)器,進(jìn)行攻擊。針對(duì)連接的DoS攻擊不能通過(guò)打補(bǔ)丁的方式加以解決，通過(guò)過(guò)濾適當(dāng)?shù)腎CMP消息類(lèi)型，一般防火墻可以阻止此類(lèi)攻擊。4配置系統(tǒng)帶的默認(rèn)防火墻以預(yù)防攻擊雖然很多防火墻可以對(duì)ICMP數(shù)據(jù)包進(jìn)行過(guò)濾,但沒(méi)有安裝防火墻的主機(jī),我們可以使用系統(tǒng)自帶的防火墻.配置系統(tǒng)自帶的默認(rèn)防火墻的方法如下(以WindowsXP為例):(1)翻開(kāi)在電腦的桌面,右鍵點(diǎn)擊“開(kāi)始→連接到→顯示所有連接→本地連接→屬性→Internet協(xié)議(TCP/IP)→屬性→高級(jí)→選項(xiàng)-TCP/IP篩選-屬性〞如下列圖4-1所示：(2)在“TCP/IP篩選〞窗口中，點(diǎn)擊選中“啟用TCP/IP篩選〔所有適配器〕〞。然后分別在“TCP端口、UDP端口和IP協(xié)議〞的添加框上，點(diǎn)擊“只允許〞，后按添加按鈕，然后在跳出的對(duì)話框中輸入端口，通常我們用來(lái)上網(wǎng)的端口是：80、8080，而郵件效勞器的端口是：25、110，F(xiàn)TP的端口是20、21，同樣將UDP端口和IP協(xié)議相關(guān)進(jìn)行添加。如圖4-2所示：圖4-2TCP/IP篩選(3)翻開(kāi)“控制面板→性能管理→管理工具→本地平安策略〞，然然右鍵單擊“IP平安策略，在本地機(jī)器〞選“管理IP篩選器和IP篩選器操作〞，在“管理IP篩選器和