序号 |
Type |
code |
Checksum |
Identifier |
Sequence |
消息种类 |
消息描述 |
1# |
8 |
0 |
0x |
0x0200 |
4352(0x1100) |
Query(Request) |
abcdefghijklmnopqrstuvwabcdefghi |
2# |
0 |
0 |
0x |
0x0200 |
4352(0x1100) |
Query(Relay) |
type |
code |
消息种类 |
作用 |
8 |
0 |
Query(Request) |
回应请求,测试目的主机或路由器的可达性 |
0 |
0 |
Query(Relay) |
回应的应答,测试目的主机或路由器的可达性 |
11 |
0 |
Error |
因“传输期间生存时间为0”返回ICMP差错报文 |
3 |
3 |
Error |
因“端口不可达”返回ICMP差错报文 |
13 |
5 |
Query(Relay) |
时间戳请求,获取其他设备的当前时间 |
14 |
0 |
Query(Relay) |
时间戳应答,获取其他设备的当前时间 |
17 |
0 |
Query(Relay) |
因获取不了地址掩码返回ICMP差错报文 |
Ping of death(死亡之ping) |
现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:从windows 98之后的windows NT(service pack 3版本之后),Solaris和Mac OS都具有抵抗一般ping of death攻击的能力。此外,对防火墙进行配置,阻断ICMP以及任何未知协议,都讲防止此类攻击。 |
ICMP Flood(ICMP洪水) |
用户或管理人员可以通过在运行菜单中输入regedit.exe调出注册表,打开HKEY_LOCAL_Machine/System/CurrentControlSt/Services?TCPIP/Paramters键值并在其右窗口中创建DWORD键值命名为EnableICMPRedirects键值数为0,此时即可禁止计算机响应ICMP得定向报文,以达保护目的,而还有一种方法是通过修改注册表禁止响应ICMP路由通告报文,来守护此类攻击,依次打开注册表如下键值
HKEY_LOCAL_Machine/System/CurrentControlSt/Services?TCPIP/Paramters/Interfaces在右侧窗体中创建DWORD值命名为PerformRouterDiscovery其键值为0即可停止响应。 |
Smurf攻击 |
防止网络遭受Smurf攻击-------------------
首先,千万不能让网络里的人发起这样的攻击。在Smurf攻击中,有大量的源欺骗的IP数据包离开了第一个网络。通过在路由器上使用输出过滤,可以滤掉这样的包,从而阻止从网络中发起的Smurf攻击。
在路由器上增加这类过滤规则的命令是:
Access-list 100 permit IP {网络号} {网络子网掩码} any
Access-list 100 deny IP any any
在局域网的边界路由器上使用这一访问列表的过滤规则,就可以阻止网络上的任何人向局域网外发送这种源欺骗的IP数据包。
其次,停止网络做为中间代理。如果没有必须要向外发送广播数据包的情况,就可以在路由器的每个接口上设置禁止直接广播,命令如下:
no ip directed-broadcast
还有,如果网络比较大,具有多个路由器,那么可以在边界路由器上使用以下命令:
ip verify unicast reverse-path
让路由器对具有相反路径的ICMP欺骗数据包进行校验,丢弃那些没有路径存在的包。最好是运行Cisco快速转发(Cisco Express Forwarding ,CEF),或者其它相应的软件。这是因为在路由器的CEF表中,列出了该数据包所到达网络接口的所有路由项,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包。例如,路由器接收到一个源IP地址为
遭受Smurf攻击时的防护---------------------
如果主机不幸成为了Smurf攻击的目标,在这儿可以找到很多种方法来限制这种拒绝服务攻击造成的影响。在最近新进修改的Cisco IOS操作系统中,被访问列表所拒绝的数据包直接就被丢弃(其丢弃速度几乎接近于硬件速度)。不过每秒钟每个列表行有两个数据包例外,这就是向中间代理回送ICMP不可达消息的数据包。因此,如果不想做为别人Ping的目标,那么在边界路由器上就直接可以阻塞掉。
激活这个列表的命令是:
ip icmp rate-limit unreachable
如果必须允许Ping命令,可以通过使用命令访问速率(Committed Access Rate ,CAR)来限制ICMP的流量。以下列出了其它Cisco IOS的例子: config t
Access-list 100 permit icmp any {网络号} {网络子网掩码} echo-reply
Access-list 100 permit icmp any {网络号} {网络子网掩码} echo
Interface e1
Rate-limit input access-group 100 512000 8000 8000 conform action transmit exceed action drop
这个例子限制ICMP的传输速率不能超过512Kbps,突发速率不能超过8000bits。所有多出的包将被丢弃。可以有多个速率限制命令同时添加到一个接口上,可以对不同的数据包进行不同的速率限制。 |
ICMP重定向 |
TCP/IP协议实现中关于主机接收ICMP重定向报文主要有下面几条限制:
ICMP重定向攻击实现比较难 |