【正文】 的課題，圓滿地完成了。如圖46所示：圖46 設(shè)置指派經(jīng)過(guò)這樣設(shè)置后，我們就完成了一個(gè)關(guān)注所有進(jìn)入系統(tǒng)的ICMP報(bào)文的過(guò)濾策略和丟棄所有報(bào)文的過(guò)濾操作，從而阻擋攻擊者使用ICMP報(bào)文進(jìn)行的。針對(duì)連接的DoS攻擊不能通過(guò)打補(bǔ)丁的方式加以解決，通過(guò)過(guò)濾適當(dāng)?shù)腎CMP消息類型，一般防火墻可以阻止此類攻擊。當(dāng)攻擊目標(biāo)的各項(xiàng)性能指標(biāo)不高時(shí)，如CPU速度低，內(nèi)存小或者網(wǎng)絡(luò)帶寬小，這種攻擊效果是明顯的。 ICMP攻擊及欺騙技術(shù)使用ICMP攻擊的原理實(shí)際上就是通過(guò)Pign大理的數(shù)據(jù)包使得計(jì)算機(jī)的CPU使用率居高不下而崩潰，一般情況下黑客通常在一個(gè)時(shí)段內(nèi)連續(xù)向計(jì)算機(jī)發(fā)出大量的請(qǐng)求而導(dǎo)致CUP占用率太高而死機(jī)。這此錯(cuò)誤報(bào)文并不是主動(dòng)發(fā)送的，而是由于錯(cuò)誤，根據(jù)協(xié)議自動(dòng)產(chǎn)生。在這里我們利用ICMP協(xié)議的不同類型可以搜集目標(biāo)主機(jī)的很多信息： (1) 網(wǎng)絡(luò)Ping掃射，尋找活動(dòng)主機(jī)獲取一個(gè)真實(shí)網(wǎng)絡(luò)的最基本步驟之一是在某一個(gè)IP地址和網(wǎng)絡(luò)塊范圍內(nèi)執(zhí)行一輪自動(dòng)Ping掃射，以確定某個(gè)具體的系統(tǒng)是否存活。圖31 ICMP保溫的兩級(jí)封裝從上圖中可以看出ICMP消息格式為IP頭加上自己的消息包，簡(jiǎn)單的說(shuō)就是：IP Header + ICMP Message，ICMP Message=Type（1）+Code（1）+CheckSum（2）+others每個(gè)ICMP報(bào)文都以相同的3個(gè)字段開始：1個(gè)16位校驗(yàn)和字段用來(lái)識(shí)別報(bào)文，1個(gè)8位的代碼（CODE）字段提供有關(guān)報(bào)文類型的進(jìn)一步信息，1個(gè)16位驗(yàn)證字段。(3) 當(dāng)網(wǎng)關(guān)發(fā)現(xiàn)并能夠引導(dǎo)主機(jī)在更短的路由上發(fā)送數(shù)據(jù)報(bào)時(shí)。但是，IP通信過(guò)程中總會(huì)碰上各種各樣的原因?qū)е峦ㄐ攀。热纾耗康牡刂凡徽_。它是TCP/IP協(xié)議族的一個(gè)子協(xié)議，用于在IP主機(jī)、路由器之間傳遞控制消息。如圖24所示：圖24 ARP綁定、修改、刪除注意：(1) 進(jìn)行綁定置前要確認(rèn)ARP表是正確的。如果確認(rèn)這個(gè)表是正確的（如果所有的計(jì)算機(jī)都可以正常上網(wǎng)，MAC地址沒(méi)有重復(fù)，這個(gè)表般就沒(méi)有錯(cuò)了，如果計(jì)算機(jī)中了ARP病毒，可以檢查這個(gè)ARP表看MAC地址有沒(méi)有相同的，若有相同的，則這些主機(jī)都不能正常訪問(wèn)網(wǎng)絡(luò)，要檢查這些主機(jī)，使用DOS命令行的arp – d命令清除主機(jī)的ARP表），可以選擇某個(gè)條目后面的“綁定”操作進(jìn)行單獨(dú)的MAC地址綁定，也可以通過(guò)點(diǎn)擊“全部綁定”把ARP表中的所有條目綁定。注意有使用SNMP的情況下，ARP的欺騙有可能導(dǎo)致陷阱包丟失。確保這臺(tái)ARP服務(wù)器不被黑。其他用戶原來(lái)直接通過(guò)路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過(guò)病毒主機(jī)上網(wǎng)，切換的時(shí)候用戶會(huì)斷一次線。D對(duì)接收到A發(fā)送給C的數(shù)據(jù)包可沒(méi)有轉(zhuǎn)交給C。同時(shí)它還更新了自己的ARP緩存表，下次再向主機(jī)B發(fā)送信息時(shí)，直接從ARP緩存表里查找就可以了。在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫?，幀里面是有目?biāo)主機(jī)的MAC地址。ARP欺騙和ICMP攻擊的實(shí)施方法，由于路由器、防火墻等網(wǎng)絡(luò)設(shè)備對(duì)接收到的ICMP數(shù)據(jù)包設(shè)置了嚴(yán)格的安全策略，而ARP欺騙又主要應(yīng)用天安全性較差的局域網(wǎng)中，因此ARP欺騙在帶寬攻擊方面實(shí)施起來(lái)比ICMP攻擊更容易些。通過(guò)分析防范應(yīng)對(duì)措施方面的異同得出實(shí)施ARP欺騙更容易達(dá)到帶寬攻擊的結(jié)論。比如，源主機(jī)欲向本網(wǎng)內(nèi)的主機(jī)發(fā)送數(shù)據(jù)包時(shí)，先在源主機(jī)的ARP高速緩存中查看有無(wú)目的主機(jī)的硬件地址，如存在，就將目的主機(jī)的硬件地址寫入MAC幀并發(fā)送；如不存在，源主機(jī)自動(dòng)在網(wǎng)內(nèi)廣播一個(gè)ARP請(qǐng)求報(bào)文來(lái)獲得目的主機(jī)的硬件地址。ARP協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。對(duì)目標(biāo)A進(jìn)行欺騙，A去Pign主機(jī)C卻發(fā)送到了00e04cb095f3這個(gè)地址上。不過(guò)，假如D發(fā)送ICMP重定向的話就中斷了整個(gè)計(jì)劃。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí)，用戶會(huì)恢復(fù)從路由器上網(wǎng)，切換過(guò)程中用戶會(huì)再斷一次線。設(shè)置好你的路由，確保IP地址能到達(dá)合法的路徑。具體設(shè)置如下：(1) 啟用ARP綁定功能。如果已經(jīng)知道局域網(wǎng)內(nèi)的計(jì)算機(jī)的MAC地址，也可以在這里手工輸入MAC地址、IP地址來(lái)添加靜態(tài)的ARP映射條目。否則更換了網(wǎng)卡的機(jī)子的ARP地址與ARP表中的不一致，也會(huì)無(wú)上網(wǎng)。我們?cè)诰W(wǎng)絡(luò)中經(jīng)常會(huì)使用到ICMP協(xié)議，只不過(guò)我們覺(jué)察不到而已。引進(jìn)ICMP協(xié)議后，當(dāng)某個(gè)網(wǎng)關(guān)發(fā)現(xiàn)傳輸錯(cuò)誤時(shí)，會(huì)立即向信源主機(jī)發(fā)送ICMP報(bào)文，自動(dòng)返回有用的描述錯(cuò)誤的信息，報(bào)告出錯(cuò)情況，信源主機(jī)必須將有關(guān)的差錯(cuò)交給一個(gè)應(yīng)用程序或采取其他措施來(lái)糾正問(wèn)題。也就是說(shuō)：Inetrnet控制報(bào)文協(xié)議允許路由向其它路由器或主機(jī)發(fā)送差錯(cuò)或控制報(bào)文；ICMP在兩臺(tái)主機(jī)的Internet協(xié)議軟件之間提供通信。在差錯(cuò)報(bào)告中返回8字節(jié)用戶數(shù)據(jù)，可以使得接收方能夠更精確地判斷是哪個(gè)應(yīng)用程序?qū)υ摂?shù)據(jù)報(bào)負(fù)責(zé)。(2) ICMP查詢請(qǐng)某個(gè)主機(jī)或路由回答當(dāng)前的日期和時(shí)間。② 向目標(biāo)主機(jī)發(fā)送一個(gè)壞IP數(shù)據(jù)報(bào)，比如，不正確的IP頭長(zhǎng)度，目標(biāo)主機(jī)將返回Parameter Problem的ICMP錯(cuò)誤報(bào)文。目前，基于ICMP的攻擊大部分都可以歸類為拒絕服務(wù)攻擊，其又可以分為以下幾類：(1) 針對(duì)帶寬的DoS攻擊針對(duì)帶寬的DoS攻擊，主要是利用無(wú)用的數(shù)據(jù)來(lái)耗盡網(wǎng)絡(luò)帶寬。 (2) 針對(duì)連接的DoS攻擊針對(duì)連接的DoS攻擊，可以終止有的網(wǎng)絡(luò)連接。如圖42所示：圖42 TCP/IP篩選(3) 打開“控制面板→性能管理→管理工具→本地安全策略”，然然右鍵單擊“IP安全策略，在本地機(jī)器”選“管理IP篩選器和IP篩選器操作”，在“管理IP篩選器和IP篩選器操作”列表中添加一個(gè)新的過(guò)濾規(guī)則，名稱輸入“防止ICMP攻擊”，然后按“添加”按鈕，在“尋址”頁(yè)中設(shè)置地址，在源地址選“任何IP地址”，目標(biāo)地址選“我的IP地址”，在“協(xié)議”頁(yè)設(shè)置協(xié)議類型為“ICMP”，設(shè)置完畢。不少安全專家都曾指出及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞、及時(shí)安裝系統(tǒng)補(bǔ)丁程序，以及不斷提升網(wǎng)絡(luò)安全策略，都是防范DoS攻擊的有效辦法。對(duì)上述朋友，再一次真誠(chéng)地表示感謝！