您好,欢迎访问三七文档
網路安全管理-期末報告ICMP攻擊指導教授:梁明章教授學生:A0933328陳柏任ICMP•ICMP簡單來說就像是網路上的警察•ICMP的全稱是InternetControlMessageProtocol。從技術角度來說,ICMP就是一個錯誤偵測與回報機制,其目的就是讓我們能夠檢測網路的連線狀況﹐也能確保連線的準確性ICMP的功能•偵測遠端主機是否存在。•建立及維護路由資料。•重導資料傳送路徑。•資料流量控制。ICMP簡單示意圖由A主動傳送回應要求至BB收到回應要求後,B被動發出回應答覆封包常見的ICMP攻擊•1.PingOfDeath•2.SmurfAttack•3.ICMP木馬PingOfDeath原理工作原理是利用發出ICMPtype8的EchoRequest給對方主機,當對方收到這個request封包後,IP層會發出一個中斷(interrupt)訊號給作業系統,請系統回送一個type0的EchoReply。當原系統接收了這個回應之後,同樣的IP層會中斷作業系統,並由作業系統將此回應訊息傳達給每一個曾經在系統中發出ICMPEchoRequest的行程PingOfDeath•由於OptionData的大小並非固定,因此形成了有心人士用來破壞系統的安全漏洞。在TCP/IP的定義中,雖然沒有明定封包的大小,但是小於65535bytes的封包才算合法。只要刻意地將EchoRequest的OptionData塞入大量資料,便可以造出超過65535bytes的TCP/IP封包。當它送入被攻擊端的電腦時,由於作業系統本身無法處理這種變形封包,因此會造成當機的狀況SmurfAttack原理•利用(ICMP)的ECHOREQUEST,偽造自己的來源IP(變成下手目標的主機IP),同時ping多部主機,那些主機會根據偽造的IP位址傳回ECHOREPLY封包給該IP位址的主機,讓受害主機同時收到非常高量的ICMP封包而使系統癱瘓SmurfAttack作法•首先,攻擊者會先假冒目標主機(受害者)之名向中介者(router)發出broadcast的ICMPEchoRequest封包(利用IPspoofed)。因為是目的地是廣播位址,中介者在收到之後會對該區域網段內的所有電腦發出此ICMP封包,而所有的電腦在接收到此訊息之後,依照前述”Ping”的動作,會對來源主機送出ICMPEchoReply回應。,所有的ICMP封包在極短的時間內湧入目標主機內,不但造成網路壅塞,更會使目標主機因為無法反應如此多的系統interrupt而導致當機、暫停服務。ICMP木馬•事件:揭開木馬的神秘面紗•因為ICMP通訊協定本身並沒有埠號(port或稱端口)的設計,所以Windows無法像TCP或UDP協定一樣,用bind的方式把ICMP_EchoReply訊息遞送到當初個別的程式,也就是說Windows系統無法由遠端機器回應的ICMP_EchoReply,來知道這應該是屬於哪個ping程式的。因此它的做法很簡單,把收到的ICMP_EchoReply訊息,丟給每一個ping程式讓它們自己來判斷,如下圖所示ICMP木馬ICMP木馬•也就是說ping程式會收到所有「外界」回傳的ICMP_EchoReply。當Windows系統發現它收到ICMP_EchoReply訊息時,它會檢查系統所有執行中的process行程,看看是否有人剛剛送出ICMP_EchoRequest要求,如有的話就將所有收到的ICMP_EchoReply訊息丟給你。ICMP木馬•這裡因此發生了一個安全上的大問題,如果駭客將它隱藏的訊息放在ICMP_EchoReply資料報裡面,所有剛剛送出ICMP_EchoRequest要求的行程都會收到,也就是說,假設木馬程式剛剛也送出ICMP_EchoRequest要求的話,它也會收到駭客隱藏的ICMP_EchoReply訊息在裡面,這下可好,新的木馬由此產生,ICMP又在網路安全內被記一過ICMP攻擊的防治•針對上述攻擊方式:現在有在做的防禦措施:•1.關閉broadcast功能•2.實行封包過濾•3.關閉ICMPEchoReply功能•~END~
本文标题:ICMP攻击
链接地址:https://www.777doc.com/doc-3440744 .html