【正文】 的課題，圓滿地完成了。如圖46所示：圖46 設置指派經過這樣設置后，我們就完成了一個關注所有進入系統(tǒng)的ICMP報文的過濾策略和丟棄所有報文的過濾操作，從而阻擋攻擊者使用ICMP報文進行的。針對連接的DoS攻擊不能通過打補丁的方式加以解決，通過過濾適當的ICMP消息類型，一般防火墻可以阻止此類攻擊。當攻擊目標的各項性能指標不高時，如CPU速度低，內存小或者網絡帶寬小，這種攻擊效果是明顯的。 ICMP攻擊及欺騙技術使用ICMP攻擊的原理實際上就是通過Pign大理的數據包使得計算機的CPU使用率居高不下而崩潰，一般情況下黑客通常在一個時段內連續(xù)向計算機發(fā)出大量的請求而導致CUP占用率太高而死機。這此錯誤報文并不是主動發(fā)送的，而是由于錯誤，根據協(xié)議自動產生。在這里我們利用ICMP協(xié)議的不同類型可以搜集目標主機的很多信息： (1) 網絡Ping掃射，尋找活動主機獲取一個真實網絡的最基本步驟之一是在某一個IP地址和網絡塊范圍內執(zhí)行一輪自動Ping掃射，以確定某個具體的系統(tǒng)是否存活。圖31 ICMP保溫的兩級封裝從上圖中可以看出ICMP消息格式為IP頭加上自己的消息包，簡單的說就是：IP Header + ICMP Message，ICMP Message=Type（1）+Code（1）+CheckSum（2）+others每個ICMP報文都以相同的3個字段開始：1個16位校驗和字段用來識別報文，1個8位的代碼（CODE）字段提供有關報文類型的進一步信息，1個16位驗證字段。(3) 當網關發(fā)現(xiàn)并能夠引導主機在更短的路由上發(fā)送數據報時。但是，IP通信過程中總會碰上各種各樣的原因導致通信失敗，比如：目的地址不正確。它是TCP/IP協(xié)議族的一個子協(xié)議，用于在IP主機、路由器之間傳遞控制消息。如圖24所示：圖24 ARP綁定、修改、刪除注意：(1) 進行綁定置前要確認ARP表是正確的。如果確認這個表是正確的（如果所有的計算機都可以正常上網，MAC地址沒有重復，這個表般就沒有錯了，如果計算機中了ARP病毒，可以檢查這個ARP表看MAC地址有沒有相同的，若有相同的，則這些主機都不能正常訪問網絡，要檢查這些主機，使用DOS命令行的arp – d命令清除主機的ARP表），可以選擇某個條目后面的“綁定”操作進行單獨的MAC地址綁定，也可以通過點擊“全部綁定”把ARP表中的所有條目綁定。注意有使用SNMP的情況下，ARP的欺騙有可能導致陷阱包丟失。確保這臺ARP服務器不被黑。其他用戶原來直接通過路由器上網現(xiàn)在轉由通過病毒主機上網，切換的時候用戶會斷一次線。D對接收到A發(fā)送給C的數據包可沒有轉交給C。同時它還更新了自己的ARP緩存表，下次再向主機B發(fā)送信息時，直接從ARP緩存表里查找就可以了。在局域網中，網絡中實際傳輸的是“幀”，幀里面是有目標主機的MAC地址。ARP欺騙和ICMP攻擊的實施方法，由于路由器、防火墻等網絡設備對接收到的ICMP數據包設置了嚴格的安全策略，而ARP欺騙又主要應用天安全性較差的局域網中，因此ARP欺騙在帶寬攻擊方面實施起來比ICMP攻擊更容易些。通過分析防范應對措施方面的異同得出實施ARP欺騙更容易達到帶寬攻擊的結論。比如，源主機欲向本網內的主機發(fā)送數據包時，先在源主機的ARP高速緩存中查看有無目的主機的硬件地址，如存在，就將目的主機的硬件地址寫入MAC幀并發(fā)送；如不存在，源主機自動在網內廣播一個ARP請求報文來獲得目的主機的硬件地址。ARP協(xié)議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。對目標A進行欺騙，A去Pign主機C卻發(fā)送到了00e04cb095f3這個地址上。不過，假如D發(fā)送ICMP重定向的話就中斷了整個計劃。當ARP欺騙的木馬程序停止運行時，用戶會恢復從路由器上網，切換過程中用戶會再斷一次線。設置好你的路由，確保IP地址能到達合法的路徑。具體設置如下：(1) 啟用ARP綁定功能。如果已經知道局域網內的計算機的MAC地址，也可以在這里手工輸入MAC地址、IP地址來添加靜態(tài)的ARP映射條目。否則更換了網卡的機子的ARP地址與ARP表中的不一致，也會無上網。我們在網絡中經常會使用到ICMP協(xié)議，只不過我們覺察不到而已。引進ICMP協(xié)議后，當某個網關發(fā)現(xiàn)傳輸錯誤時，會立即向信源主機發(fā)送ICMP報文，自動返回有用的描述錯誤的信息，報告出錯情況，信源主機必須將有關的差錯交給一個應用程序或采取其他措施來糾正問題。也就是說：Inetrnet控制報文協(xié)議允許路由向其它路由器或主機發(fā)送差錯或控制報文；ICMP在兩臺主機的Internet協(xié)議軟件之間提供通信。在差錯報告中返回8字節(jié)用戶數據，可以使得接收方能夠更精確地判斷是哪個應用程序對該數據報負責。(2) ICMP查詢請某個主機或路由回答當前的日期和時間。② 向目標主機發(fā)送一個壞IP數據報，比如，不正確的IP頭長度，目標主機將返回Parameter Problem的ICMP錯誤報文。目前，基于ICMP的攻擊大部分都可以歸類為拒絕服務攻擊，其又可以分為以下幾類：(1) 針對帶寬的DoS攻擊針對帶寬的DoS攻擊，主要是利用無用的數據來耗盡網絡帶寬。 (2) 針對連接的DoS攻擊針對連接的DoS攻擊，可以終止有的網絡連接。如圖42所示：圖42 TCP/IP篩選(3) 打開“控制面板→性能管理→管理工具→本地安全策略”，然然右鍵單擊“IP安全策略，在本地機器”選“管理IP篩選器和IP篩選器操作”，在“管理IP篩選器和IP篩選器操作”列表中添加一個新的過濾規(guī)則，名稱輸入“防止ICMP攻擊”，然后按“添加”按鈕，在“尋址”頁中設置地址，在源地址選“任何IP地址”，目標地址選“我的IP地址”，在“協(xié)議”頁設置協(xié)議類型為“ICMP”，設置完畢。不少安全專家都曾指出及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞、及時安裝系統(tǒng)補丁程序，以及不斷提升網絡安全策略，都是防范DoS攻擊的有效辦法。對上述朋友，再一次真誠地表示感謝！