ICMP 被 IP 层用于向一台主机发送单向的告知性消息。在 ICMP 中没有验证机制,这就导致了使用 ICMP 可以造成服务拒绝的攻击,或者可以支持攻击者截取数据包。下面列出了几种与 ICMP 协议相关的攻击类型:
ICMP DOS 攻击:攻击者使用 ICMP “时间超出”或“目标地址无法连接”的消息。这两种 ICMP 消息都会导致一台主机迅速放弃连接。攻击只需伪造这些 ICMP 消息中的一条,并发送给通信中的两台主机或其中的一台,就可以利用这种攻击了。接着通信连接就会被切断。当一台主机错误地认为信息的目标地址不在本地网络中的时候,网关通常会使用 ICMP “转向”消息。如果攻击者伪造出一条“转向”消息,它就可以导致另外一台主机经过攻击者主机向特定连接发送数据包。
- ICMP 数据包放大(或 ICMP Smurf):攻击者向安全薄弱网络所广播的地址发送伪造的 ICMP 响应数据包。那些网络上的所有系统都会向受害计算机系统发送 ICMP 响应的答复信息,占用了目标系统的可用带宽并导致合法通信的服务拒绝(DoS)。
- 死 Ping 攻击:攻击者向受害计算机发送一条比最大 IP 数据包容量还要大许多的 ICMP 响应请求数据包。既然所接收到的 ICMP 响应请求数据包的容量远远高于正常的 IP 数据包,受害计算机不能够将这些数据包重新组合起来。这样导致的结果是,操作系统要么瘫痪,要么重启。
- ICMP PING 淹没攻击:大量的 PING 信息广播淹没了目标系统,使得它不能够对合法的通信做出响应。
- ICMP nuke 攻击:Nuke 发送出目标操作系统无法处理的信息数据包,从而导致该系统瘫痪。
ICMP 攻击的防范
在网络的关键之处使用防火墙对来源不明的有害数据进行过滤可以有效减轻大多数 ICMP 攻击。另外,你需要按照如下的方法对 ICMP 参数进行设置后就可以在服务与安全之间合理地保持平衡:
- 支持 PING —允许向外发送 ICMP 响应请求,并允许向内发送响应答复消息。
- 支持路径追踪—允许向内发送 TTL -超出和端口无法连接的消息。
- 支持路径 MTU—允许向内发送 ICMP 零碎DF-整套消息。
- 阻止其它类型的 ICMP 通信。
相关术语:ICMP、ICMP 攻击、Ping 攻击、Smurf 攻击、PING 淹没、死 Ping
from:http://blog.sina.com.cn/s/blog_51409e8f010090v8.html
+
+
+
=
+
+
+