當前位置 : 首頁>軟件學院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

黑客技術(shù)：ICMP洪水攻擊淺析

http://m.yibo1263.com　2010-3-16 8:19:28 　來源:東北IT網(wǎng) 　編輯:葉子

　　簡單示意：

　　偽造受害者的ICMP 應(yīng)答

　　攻擊者[IP=211.97.54.3]-------------------------->正常的主機--------------->受害者[截獲攻擊者IP=……網(wǎng)易？！]==>哭啊……

　　以上是幾種常見的Flood方式，在測試中，我發(fā)現(xiàn)一個有趣的現(xiàn)象：一些防火墻只能攔截ECHO請求（Ping）的ICMP報文，對于其他ICMP報文一概睜只眼閉只眼，不知道其他防火墻有沒有這個情況。所以想神不知鬼不覺對付你的敵人時，請盡量避開直接ECHO Flood，換用Type=0的ECHO應(yīng)答或Type=14的時間戳應(yīng)答最好，其他類型的ICMP報文沒有詳細測試過，大家可以試試看Type=3、4、11的特殊報文會不會有更大效果。

　　六、ICMP Flood能防嗎？

　　先反問你一個問題：洪水迅猛的沖來時，你能否拿著一個臉盆來抵擋？（坐上臉盆做現(xiàn)代魯賓遜倒是個不錯的主意，沒準能漂到MM身邊呢）

　　軟件的網(wǎng)絡(luò)防火墻能對付一些漏洞、溢出、OOB、IGMP攻擊，但是對于洪水類型的攻擊，它們根本無能為力，我通常對此的解釋是“傾倒垃圾”：“有蟑螂或老鼠在你家門前逗留，你可以把它們趕走，但如果有人把一車垃圾傾倒在你家門口呢？”前幾天看到mikespook大哥對此有更體面的解釋，轉(zhuǎn)載過來——“香蕉皮原理：如果有人給你一個香蕉和一個香蕉皮你能區(qū)分，并把沒有用的香蕉皮扔掉。（一般軟件防火墻就是這么判斷并丟棄數(shù)據(jù)包的。）但是如果有人在同一時間內(nèi)在你身上倒一車香蕉皮，你再能區(qū)分有用沒用也沒啥作用了~~因為你被香蕉皮淹沒了~~~~（所以就算防火墻能區(qū)分是DoS的攻擊數(shù)據(jù)包，也只能識別，根本來不及丟棄~~死了，死了，死了~~）”

　　所以，洪水沒法防！能做的只有提高自己的帶寬和預(yù)防洪水的發(fā)生（雖然硬件防火墻和分流技術(shù)能做到，但那價格是太昂貴的，而且一般人也沒必要這樣做）。

　　如果你正在被攻擊，最好的方法是抓取攻擊者IP（除非對方用第一種，否則抓了沒用——假的IP）后，立即下線換IP！（什么？你是固定IP？沒轍了，打電話找警察叔叔吧）

　　七、被ICMP Flood攻擊的特征

　　如何發(fā)現(xiàn)ICMP Flood？

　　當你出現(xiàn)以下癥狀時，就要注意是否正被洪水攻擊：

　　1.傳輸狀態(tài)里，代表遠程數(shù)據(jù)接收的計算機圖標一直亮著，而你沒有瀏覽網(wǎng)頁或下載

　　2.防火墻一直提示有人試圖ping你

　　3.網(wǎng)絡(luò)速度奇慢無比

　　4.嚴重時系統(tǒng)幾乎失去響應(yīng)，鼠標呈跳躍狀行走

　　如果出現(xiàn)這些情況，先不要慌張，冷靜觀察防火墻報警的頻率及IP來確認是否普通的Ping或是洪水，做出相應(yīng)措施（其實大多數(shù)情況也只能換IP了）。

　　1.普通ping

　　這種“攻擊”一般是對方掃描網(wǎng)絡(luò)或用ping -t發(fā)起的，沒多大殺傷力（這個時候，防火墻起的作用就是延遲攻擊者的數(shù)據(jù)報發(fā)送間隔時間，請別關(guān)閉防火墻！否則后果是嚴重的�。�，通常表現(xiàn)如下：

　　==============================================================

　　[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　[13:09:24] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　[13:09:26] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　[13:09:30] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　=============================================================

　　這么慢的速度，很明顯是由ping.exe或IcmpSendEcho發(fā)出的，如果對方一直不停的讓你的防火墻吵鬧，你可以給他個真正的ICMP Flood問候。

　　2.直接Flood

　　這是

　　較夠勁的真正意義洪水了，防火墻的報警密度會提高一個數(shù)量級：

　　==============================================================

　　[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　[13:09:20] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　[13:09:21] 61.151.252.106 嘗試用Ping 來探測本機，

　　該操作被拒絕。

　　這時候你的防火墻實際上已經(jīng)廢了，換個IP吧。

本新聞共3頁,當前在第2頁 1 2 3

【收藏】【打印】【進入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费