1.
1.ICMP是(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。
ICMP攻击是通过Ping产生的大量数据包,使目标计算机的CPU占用率满载继而当机,此类的攻击方法更加简单,恶意用户只要在DOS窗体中输入ping -t -l 65500 IP地址即可实现向目标计算机发送一个65500的ICMP报文,此时目标用户即受到ICMP洪水攻击,计算机因此逐渐变慢,从而死机。
ICMP报文。
ICMP报文包含在IP数据报中,属于IP的一个用户,IP头部就在ICMP报文的前面,所以一个ICMP报文包括IP头部、ICMP头部和ICMP报文(见图表,ICMP报文的结构和几种常见的ICMP报文格式),IP头部的Protocol值为1就说明这是一个ICMP报文,ICMP头部中的类型(Type)域用于说明ICMP报文的作用及格式,此外还有一个代码(Code)域用于详细说明某种ICMP报文的类型,所有数据都在ICMP头部后面。RFC定义了13种ICMP报文格式,具体如下:
类型代码 类型描述
0 响应应答(ECHO-REPLY)
3 不可到达
4 源抑制
5 重定向
8 响应请求(ECHO-REQUEST)
11 超时
12 参数失灵
13 时间戳请求
14 时间戳应答
15 信息请求(*已作废)
16 信息应答(*已作废)
17 地址掩码请求
18 地址掩码应答
最常见的ICMP报文有:响应请求报文;
目标不可到达、源抑制和超时报文;
时间戳。
2. ICMP flood的形成条件:
Flood, 顾名思义, 是要形成洪水一样的报文量才能达到攻击目的。所以必须考虑的两个因素:发报量和带宽。发包速度必须够快到一定程度;而且必须保证一定的带宽从而使大量的ICMP报文会洪水一样冲向目标服务器。另外必须考虑的一点是,ICMP报文本身的大小也是很重要的,太小的报文即使数量巨大也不足以产生拒绝服务;而报文太大,会被路由等设备过滤掉,完全达不到攻击效果。
3. ICMP flood攻击细节。
首先,我们需要填充一个合适的ICMP报文。
如上所说,按照ICMP报文的格式和类型,声明一个报文。现在有很多洪水器可以很快地发送包,可以利用这个。网上的一些比如ICMP Flooder. 发包速度大概能到8000-10000包/秒。
如果攻击者的带宽够,完全可以直接进行攻击,但是会暴露自己的IP,而且对自己的主机同样损害巨大,一般很少有人这么做。
3. ICMP flood 实例。
大量的 ICMP消息发送给目标系统,使得它不能够对合法的服务请求做出响应。ICMP FLOOD攻击实际上是一种两败俱伤的攻击方式,在主机"疯狂"地向攻击目标发送ICMP消息的时候,主机也在消耗自身的系统资源。因此,ICMP FLOOD攻击为了达到很好的效果,往往要联合多台机器同时攻击同一台机器,从而形成分布式拒绝服务攻击(DDoS)
2.DDoS技术细节。
DDoS攻击可以具体分成两种形式:带宽消耗型和资源消耗型。
1. 带宽消耗型攻击分为两个层次:洪泛攻击和放大攻击。
洪泛攻击的特点是利用僵尸程序发送大量流量至受损的受害者系统,目的在于堵塞其带宽。放大攻击也与之类似,通过恶意放大流量限制受害者系统的带宽;其特点是利用僵尸程序发送信息,但是信息却是发送至广播 IP 地址,导致系统子网被广播 IP 地址连接上之后再发送信息至受害系统。
举例:UDP flood、ICMP flood、ping of death、TearDrop
资源消耗型攻击
举例:SYN flood、LAND attack、 CC 攻击、僵尸网络攻击、对非法报文攻击(SMURF、Dos/DDos、Ascend Kill、Jolt、Ping of Death、Land、tcp scan、Teardrop等)和统计型报文攻击(Port Scan、SYN Flood、Ipsweep、ICMP flood、TCP flood、TCP flood等)
1.ICMP是(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。
ICMP攻击是通过Ping产生的大量数据包,使目标计算机的CPU占用率满载继而当机,此类的攻击方法更加简单,恶意用户只要在DOS窗体中输入ping -t -l 65500 IP地址即可实现向目标计算机发送一个65500的ICMP报文,此时目标用户即受到ICMP洪水攻击,计算机因此逐渐变慢,从而死机。
ICMP Flood 的攻击原理和ACK Flood原理类似,属于流量型的攻击方式,也是利用大的流量给服务器带来较大的负载,影响服务器的正常服务。
防御也很简单,直接过滤ICMP报文。
ICMP报文。
ICMP报文包含在IP数据报中,属于IP的一个用户,IP头部就在ICMP报文的前面,所以一个ICMP报文包括IP头部、ICMP头部和ICMP报文(见图表,ICMP报文的结构和几种常见的ICMP报文格式),IP头部的Protocol值为1就说明这是一个ICMP报文,ICMP头部中的类型(Type)域用于说明ICMP报文的作用及格式,此外还有一个代码(Code)域用于详细说明某种ICMP报文的类型,所有数据都在ICMP头部后面。RFC定义了13种ICMP报文格式,具体如下:
类型代码 类型描述
0 响应应答(ECHO-REPLY)
3 不可到达
4 源抑制
5 重定向
8 响应请求(ECHO-REQUEST)
11 超时
12 参数失灵
13 时间戳请求
14 时间戳应答
15 信息请求(*已作废)
16 信息应答(*已作废)
17 地址掩码请求
18 地址掩码应答
最常见的ICMP报文有:响应请求报文;
目标不可到达、源抑制和超时报文;
时间戳。
2. ICMP flood的形成条件:
Flood, 顾名思义, 是要形成洪水一样的报文量才能达到攻击目的。所以必须考虑的两个因素:发报量和带宽。发包速度必须够快到一定程度;而且必须保证一定的带宽从而使大量的ICMP报文会洪水一样冲向目标服务器。另外必须考虑的一点是,ICMP报文本身的大小也是很重要的,太小的报文即使数量巨大也不足以产生拒绝服务;而报文太大,会被路由等设备过滤掉,完全达不到攻击效果。
3. ICMP flood攻击细节。
首先,我们需要填充一个合适的ICMP报文。
如上所说,按照ICMP报文的格式和类型,声明一个报文。现在有很多洪水器可以很快地发送包,可以利用这个。网上的一些比如ICMP Flooder. 发包速度大概能到8000-10000包/秒。
如果攻击者的带宽够,完全可以直接进行攻击,但是会暴露自己的IP,而且对自己的主机同样损害巨大,一般很少有人这么做。
3. ICMP flood 实例。
大量的 ICMP消息发送给目标系统,使得它不能够对合法的服务请求做出响应。ICMP FLOOD攻击实际上是一种两败俱伤的攻击方式,在主机"疯狂"地向攻击目标发送ICMP消息的时候,主机也在消耗自身的系统资源。因此,ICMP FLOOD攻击为了达到很好的效果,往往要联合多台机器同时攻击同一台机器,从而形成分布式拒绝服务攻击(DDoS)
2.DDoS技术细节。
DDoS攻击可以具体分成两种形式:带宽消耗型和资源消耗型。
1. 带宽消耗型攻击分为两个层次:洪泛攻击和放大攻击。
洪泛攻击的特点是利用僵尸程序发送大量流量至受损的受害者系统,目的在于堵塞其带宽。放大攻击也与之类似,通过恶意放大流量限制受害者系统的带宽;其特点是利用僵尸程序发送信息,但是信息却是发送至广播 IP 地址,导致系统子网被广播 IP 地址连接上之后再发送信息至受害系统。
举例:UDP flood、ICMP flood、ping of death、TearDrop
资源消耗型攻击
举例:SYN flood、LAND attack、 CC 攻击、僵尸网络攻击、对非法报文攻击(SMURF、Dos/DDos、Ascend Kill、Jolt、Ping of Death、Land、tcp scan、Teardrop等)和统计型报文攻击(Port Scan、SYN Flood、Ipsweep、ICMP flood、TCP flood、TCP flood等)
扫一扫
5590
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
