TCP/IP之ICMP协议分析与问题

时间:2024-03-25 08:49:14
ICMP协议分析与问题
1 打开” icmp数据包文件夹中的ping.pkt,填表:
TCP/IP之ICMP协议分析与问题TCP/IP之ICMP协议分析与问题
TCP/IP之ICMP协议分析与问题
 
序号
Type
code
Checksum
Identifier
Sequence
消息种类
消息描述
1#
 8
 0
 0x3a5c
 0x0200
 4352(0x1100)
 Query(Request)
 abcdefghijklmnopqrstuvwabcdefghi
2#
 0
 0
 0x425c
 0x0200
 4352(0x1100)
Query(Relay)
 

 
 
 
 
 
 
 
 
 
以上ICMP报文的Data字段最大值是(  32  ),Windows系统中的默认值是(  32 
2、打开” icmp数据包文件夹中的icmplab.pkt,回答问题:
1)何种类型的ICMP数据被发送?Code号是多少?
答:type3ICMP数据被发送,code号是3,端口不可达。
2)发送这个ICMP数据包的主机IP地址是什么?
答:IP10.2.0.2
3)为什么发送这个ICMP数据包
答:因为本来10.1.0.1要发送的IP数据包里的目的地址是10.2.0.2,但因为它不知道怎样达到,所以返回一个ICMP差错报文。
3打开” icmp数据包文件夹中的icmp.cap,观察了解不同类型的报文,其中总共有哪些类型的icmp数据包?分别有什么作用?
type
code
消息种类
作用
8
0
Query(Request)
回应请求,测试目的主机或路由器的可达性
0
0
Query(Relay)
回应的应答,测试目的主机或路由器的可达性
11
0
Error
因“传输期间生存时间为0”返回ICMP差错报文
3
3
Error
因“端口不可达”返回ICMP差错报文
13
5
Query(Relay)
时间戳请求,获取其他设备的当前时间
14
0
Query(Relay)
时间戳应答,获取其他设备的当前时间
17
0
Query(Relay)
因获取不了地址掩码返回ICMP差错报文
 
4ICMP有哪些安全问题?如何防范基于ICMP的攻击?  
Ping of death(死亡之ping)
现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:从windows 98之后的windows NT(service pack 3版本之后)SolarisMac OS都具有抵抗一般ping of death攻击的能力。此外,对防火墙进行配置,阻断ICMP以及任何未知协议,都讲防止此类攻击。
ICMP Flood(ICMP洪水)
用户或管理人员可以通过在运行菜单中输入regedit.exe调出注册表,打开HKEY_LOCAL_Machine/System/CurrentControlSt/Services?TCPIP/Paramters键值并在其右窗口中创建DWORD键值命名为EnableICMPRedirects键值数为0,此时即可禁止计算机响应ICMP得定向报文,以达保护目的,而还有一种方法是通过修改注册表禁止响应ICMP路由通告报文,来守护此类攻击,依次打开注册表如下键值
HKEY_LOCAL_Machine/System/CurrentControlSt/Services?TCPIP/Paramters/Interfaces在右侧窗体中创建DWORD值命名为PerformRouterDiscovery其键值为0即可停止响应。
Smurf攻击
防止网络遭受Smurf攻击-------------------
首先,千万不能让网络里的人发起这样的攻击。在Smurf攻击中,有大量的源欺骗的IP数据包离开了第一个网络。通过在路由器上使用输出过滤,可以滤掉这样的包,从而阻止从网络中发起的Smurf攻击。
在路由器上增加这类过滤规则的命令是:
Access-list 100 permit IP {网络号} {网络子网掩码} any
Access-list 100 deny IP any any
在局域网的边界路由器上使用这一访问列表的过滤规则,就可以阻止网络上的任何人向局域网外发送这种源欺骗的IP数据包。
其次,停止网络做为中间代理。如果没有必须要向外发送广播数据包的情况,就可以在路由器的每个接口上设置禁止直接广播,命令如下:
no ip directed-broadcast
还有,如果网络比较大,具有多个路由器,那么可以在边界路由器上使用以下命令:
ip verify unicast reverse-path
让路由器对具有相反路径的ICMP欺骗数据包进行校验,丢弃那些没有路径存在的包。最好是运行Cisco快速转发(Cisco Express ForwardingCEF),或者其它相应的软件。这是因为在路由器的CEF表中,列出了该数据包所到达网络接口的所有路由项,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包。例如,路由器接收到一个源IP地址为1.2.3.4的数据包,如果CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。
遭受Smurf攻击时的防护---------------------
如果主机不幸成为了Smurf攻击的目标,在这儿可以找到很多种方法来限制这种拒绝服务攻击造成的影响。在最近新进修改的Cisco IOS操作系统中,被访问列表所拒绝的数据包直接就被丢弃(其丢弃速度几乎接近于硬件速度)。不过每秒钟每个列表行有两个数据包例外,这就是向中间代理回送ICMP不可达消息的数据包。因此,如果不想做为别人Ping的目标,那么在边界路由器上就直接可以阻塞掉。
**这个列表的命令是:
ip icmp rate-limit unreachable
如果必须允许Ping命令,可以通过使用命令访问速率(Committed Access Rate CAR)来限制ICMP的流量。以下列出了其它Cisco IOS的例子:
config t
Access-list 100 permit icmp any {网络号} {网络子网掩码} echo-reply
Access-list 100 permit icmp any {网络号} {网络子网掩码} echo
Interface e1
Rate-limit input access-group 100 512000 8000 8000 conform action transmit exceed action drop
这个例子限制ICMP的传输速率不能超过512Kbps,突发速率不能超过8000bits。所有多出的包将被丢弃。可以有多个速率限制命令同时添加到一个接口上,可以对不同的数据包进行不同的速率限制。
ICMP重定向
TCP/IP协议实现中关于主机接收ICMP重定向报文主要有下面几条限制:
  1. 新路由必须是直达的
  2. 重定向包必须来自去往目标的当前路由
  3. 重定向包不能通知主机用自己做路由
  4. 被改变的路由必须是一条间接路由
ICMP重定向攻击实现比较难
 


本文转自gauyanm 51CTO博客,原文链接:http://blog.51cto.com/gauyanm/269076,如需转载请自行联系原作者