返回
防范icmp攻击的策略

防范icmp攻击的策略

ID:9495108

大小:182.78 KB

页数:2页

时间:2018-05-01

防范icmp攻击的策略_第1页
防范icmp攻击的策略_第2页
资源描述:

《防范icmp攻击的策略》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、《》2007年第2期工程科技防范ICMP攻击的策略宋平平胡博(芜湖职业技术学院,安徽芜湖241001)摘要:ICMP协议对网络安全具有重要的意义,基于DoS的ICMP攻击,会造成大面积网络断网。本文通过建立实验环境,运用sniffer,构造数据包对ICMP攻击进行模拟﹑协议分析,以发现对攻击的实时监测、及时解决的策略。关键词:ICMP;攻击;DoS;MAC;sniffer中图分类号:TP311文献标识码:A文章编号:1672-0547(2007)02-0064-021.ICMPICMP(InternetControlMessageProtocol,Internet控制消息协议)协议用来给

2、IP协议提供控制服务,允许路由器或目标主机给数据的发送方提供反馈信息。需要发送反馈信息的情况包括:数据包不能被发送到目标主机,路由器缓冲区溢出导致数据包被删除,路由器想要把流量重定向到另外一个更短的路由上等。ICMP协议是IP协议的一部分,任何实现了IP协议的设备同时也被要求实现ICMP协议。ICMP协议的格式:ICMP协议头位于IP数据包头之后,使用类型和代码来区分不同的控制消息。ICMP代码用来区分不同的ICMP子类型,ICMP数据位于ICMP协议头之后,不同的ICMP类型对应的数据的长度也不相同。通常ICMP数据包含原始数据包的信息、被报告的错误或者用来测试的数据。2.ICMP攻击

3、ICMP协议对于网络安全具有极其重要的意义,ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机。基于ICMP的攻击可以分为四类:一是针对带宽的DoS攻击:通过高速发送大量的ICMPEchoReply数据包,利用无用的数据来耗尽网络带宽,又分为直接Flood攻击(用本机IP高速发ECHO报文)、伪造IP的Flood攻击、反射smurf攻击(多台主机返回ECHO应答,导致阻塞受害机网络)等;二是针对主机的DoS攻击:攻击操作系统的漏洞;三是针对连接的DoS攻击:针对网络连接的DoS攻击会影响所有的IP设备,它使用合法的ICMP消息,通过发送一个伪造的ICMPDestinat

4、ionUnreachable或Redi-rect消息,会给某一个范围内的端口发送大量的数据包,终止大量的网络连接,同时还会消耗受害主机CPU的时钟周期,Redirect和RouterAnnouncement消息被利用来强制受害主机使用一个并不存在的路由器,或者把数据包路由到攻击者的机器;四是基于重定向的路由欺骗技术:攻击者利用ICMP重定向报文破坏路由,并以此增强其窃听能力。ICMP攻击的后果非常严重,大多数情况下会造成部分主机断网或网络速度减慢,尤其是在校园内网环境下,没有防火墙的防范,攻击者容易实施。3.ICMP攻击的模拟及协议分析为了能尽快地发现ICMP攻击并确定攻击源,下面通过

5、sniffer对ICMP攻击进行模拟及数据包的协议分析。ICMP攻击模拟网络拓扑图如图1。图1ICMP攻击模拟网络拓扑图在攻击机运行sniffer,通过tools查找主机,获取主机信息,如图2所示,本实验环境为:网关192.168.1.2,攻击机192.168.1.33,受害机192.168.1.32;mac地址见网络拓扑图。图2查找主机信息收稿日期:2007-03-25作者简介:宋平平(1969-),男,安徽安庆人,芜湖职业技术学院网络中心讲师,硕士;胡博(1980-),男,湖北武汉人,芜湖职业技术学院网络中心助教。-64-《》2007年第2期抓获ICMP数据包,如图3所示,ICMP报

6、文包含在IP数据报中,IP头部在ICMP报文的前面,一个ICMP报文包括IP头部、ICMP头部和ICMP报文,IP头部的Protocol值为1说明这是一个ICMP报文,ICMP头部中的类型(Type)域用于说明ICMP报文的作用及格式,另有一个代码(Code)域用于详细说明某种ICMP报文的类型,所有数据都在ICMP头部后面。图3ICMP数据包通过packetgenerator构造攻击的数据包,并发送(发送2000次,100ms一次),数据包编码如图4所示。图4构造ICMP攻击的数据包此数据包含义为:向mac地址为00:11:5b:43:29:ac的机器(即受害机192.168.1.32

7、)发送网关192.168.1.2不可达的ECHO应答包,从而使192.168.1.32无法联网,如图5所示。如果发送到广播地址,将导致整个网络断网。图5受害机无法联网通过端口映射,用sniffer对上述攻击进行监测,如图6所示,发现大量发往192.168.1.32的ECHO应答包,表明有针对连接的ICMP攻击,并根据数据包进一步查找攻击源头机器。图6sniffer对数据包的实时监控4.ICMP攻击的防范解决办法(1)在网络边界合理

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。