攻防战略ICMP常见攻击及防范措施.doc

攻防战略ICMP常见攻击及防范措施~教育资源库懂得网络的人都知道我们常用Ping命令来检查网络是否畅通的一个简单的手段,可是这个Ping也能给P流量。使用适当的路由过滤规则可以部分防止此类攻击,如果完全防止这种攻击,就需要使用基于状态检测的防火墙。针对连接的DoS攻击针对连接的DoS攻击,可以终止现有的网络连接。针对网络连接的DoS攻击会影响所有的IP设备,因为它使用了合法的ICMP消息。Nuke通过发送一个伪造的ICMPDestinationUnreachable或Redirect消息来终止合法的网络连接。更具恶意的攻击,如puke和smack,会给某一个范围内的端口发送大量的数据包,毁掉大量的网络连接,同时还会消耗受害主机CPU的时钟周期。还有一些攻击使用ICMPSourceQuench消息,导致网络流量变慢,甚至停止。Redirect和RouterAnnouncement消息被利用来强制受害主机使用一个并不存在的路由器,或者把数据包路由到攻击者的机器,进行攻击。针对连接的DoS攻击不能通过打补丁的方式加以解决,通过过滤适当的ICMP消息类型,一般防火墙可以阻止此类攻击。基于重定向(redirect)的路由欺骗技术首先我们应该知道,微软的P重定向报文破坏路由,并以此增强其窃听能力。除了路由器,主机必须服从ICMP重定向。如果一台机器想网络中的另一台机器发送了一个ICMP重定向消息,这就可能引起其他机器具有一张无效的路由表。如果一台机器伪装成路由器截获所有到某些目标网络或全部目标网络的IP数据包,这样就形成了窃听。通过ICMP技术还可以抵达防火墙后的机器进行攻击和窃听。据笔者观察,目前所有基于ICMP路由欺骗的技术都是停留在理论上的论述,没有找到相关的具体攻击实例和原程序配置防火墙以预防攻击一旦选择了合适的防火墙,用户应该配置一个合理的安全策略。一般除了出站的ICMPEchoRequest、出站的ICMPSourceQuench、进站的TTLExceeded和进站的ICMPDestinationUnreachable之外,所有的ICMP消息类型都应该被阻止。现在许多防火墙在默认情况下都启用了ICMP过滤的功能。如果没有启用,只要选中防御ICMP攻击、防止别人用ping命令探测就可以了。配置系统自带的默认防火墙以预防攻击虽然很多防火墙可以对PING进行过滤,但对于没有安装防火墙时我们如何有效的防范ICMP攻击呢?先面我们介绍一下配置一下系统自带的默认防火墙的预防攻击的方法。方法如下: 第一步:打开在电脑的桌面,右键点击网上邻居→属性→本地连接→属性→Inter协议(TCP/IP)→属性→高级→选项-TCP/IP筛选-属性。第二步:TCP/IP筛选窗口中,点击选中启用TCP/IP筛选(所有适配器)。然后分别在TCP端口、UDP端口和IP协议的添加框上,点击只允许,后按添加按钮,然后在跳出的对话框输入端口,通常我们用来上网的端口是:80、8080,而邮件服务器的端口是:25、110,FTP的端口是20、21,同样将UDP端口和IP协议相关进行添加。第三步:打开控制面板→管理工具→本地安全策略,然后右击IP安全策略,在本地机器选管理IP筛选器和IP筛选器操作,在管理I