引:懂得網絡的人都知道我們常用Ping命令來檢查網絡是否暢通的一個簡單的手段,可是這個Ping也能給Windows系統帶來不可預測的災難,那就是Ping入侵即是ICMP入侵. ICMP攻擊及欺騙技術 所謂:“知己知彼,百戰不怠”,要學會防范就必須知道攻擊是怎樣的。使用ICMP攻擊的原理實際上就是通過Ping大量的數據包使得計算機的CPU使用率居高不下而崩潰,一般情況下黑客通常在一個時段內連續向計算機發出大量請求而導致CPU占用率太高而死機。基於ICMP的攻擊可以分為兩大類,一是ICMP攻擊導致拒絕服務(DoS);另外一個是基於重定向(redirect)的路由欺騙技術。 服務拒絕攻擊是最容易實施的攻擊行為,目前,基於ICMP的攻擊絕大部分都可以歸類為拒絕服務攻擊,其又可以分成3個小類: 針對帶寬的DoS攻擊 針對帶寬的DoS攻擊,,主要是利用無用的數據來耗盡網絡帶寬。Pingflood、pong、echok、flushot、fraggle 和 bloop是常用的ICMP攻擊工具。通過高速發送大量的ICMP Echo Reply數據包,目標網絡的帶寬瞬間就會被耗盡,阻止合法的數據通過網絡。ICMP Echo Reply數據包具有較高的優先級,在一般情況下,網絡總是允許內部主機使用PING命令。 這種攻擊僅限於攻擊網絡帶寬,單個攻擊者就能發起這種攻擊。更厲害的攻擊形式,如smurf和papa-smurf,可以使整個子網內的主機對目標主機進行攻擊,從而擴大ICMP流量。使用適當的路由過濾規則可以部分防止此類攻擊,如果完全防止這種攻擊,就需要使用基於狀態檢測的防火牆。 針對連接的DoS攻擊 針對連接的DoS攻擊,可以終止現有的網絡連接。針對網絡連接的DoS攻擊會影響所有的IP設備,因為它使用了合法的ICMP消息。Nuke通過發送一個偽造的ICMP Destination Unreachable或Redirect消息來終止合法的網絡連接。更具惡意的攻擊,如puke和smack,會給某一個范圍內的端口發送大量的數據包,毀掉大量的網絡連接,同時還會消耗受害主機CPU的時鐘周期。 還有一些攻擊使用ICMP Source Quench消息,導致網絡流量變慢,甚至停止。Redirect和Router Announcement消息被利用來強制受害主機使用一個並不存在的路由器,或者把數據包路由到攻擊者的機器,進行攻擊。針對連接的DoS攻擊不能通過打補丁的方式加以解決,通過過濾適當的ICMP消息類型,一般防火牆可以阻止此類攻擊。
