【正文】 不少安全專家都曾指出及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞、及時安裝系統(tǒng)補丁程序，以及不斷提升網(wǎng)絡(luò)安全策略，都是防范DoS攻擊的有效辦法。 (2) 針對連接的DoS攻擊針對連接的DoS攻擊，可以終止有的網(wǎng)絡(luò)連接。② 向目標(biāo)主機發(fā)送一個壞IP數(shù)據(jù)報，比如，不正確的IP頭長度，目標(biāo)主機將返回Parameter Problem的ICMP錯誤報文。在差錯報告中返回8字節(jié)用戶數(shù)據(jù)，可以使得接收方能夠更精確地判斷是哪個應(yīng)用程序?qū)υ摂?shù)據(jù)報負(fù)責(zé)。引進ICMP協(xié)議后，當(dāng)某個網(wǎng)關(guān)發(fā)現(xiàn)傳輸錯誤時，會立即向信源主機發(fā)送ICMP報文，自動返回有用的描述錯誤的信息，報告出錯情況，信源主機必須將有關(guān)的差錯交給一個應(yīng)用程序或采取其他措施來糾正問題。否則更換了網(wǎng)卡的機子的ARP地址與ARP表中的不一致，也會無上網(wǎng)。具體設(shè)置如下：(1) 啟用ARP綁定功能。當(dāng)ARP欺騙的木馬程序停止運行時，用戶會恢復(fù)從路由器上網(wǎng)，切換過程中用戶會再斷一次線。對目標(biāo)A進行欺騙，A去Pign主機C卻發(fā)送到了00e04cb095f3這個地址上。比如，源主機欲向本網(wǎng)內(nèi)的主機發(fā)送數(shù)據(jù)包時，先在源主機的ARP高速緩存中查看有無目的主機的硬件地址，如存在，就將目的主機的硬件地址寫入MAC幀并發(fā)送；如不存在，源主機自動在網(wǎng)內(nèi)廣播一個ARP請求報文來獲得目的主機的硬件地址。ARP欺騙和ICMP攻擊的實施方法，由于路由器、防火墻等網(wǎng)絡(luò)設(shè)備對接收到的ICMP數(shù)據(jù)包設(shè)置了嚴(yán)格的安全策略，而ARP欺騙又主要應(yīng)用天安全性較差的局域網(wǎng)中，因此ARP欺騙在帶寬攻擊方面實施起來比ICMP攻擊更容易些。同時它還更新了自己的ARP緩存表，下次再向主機B發(fā)送信息時，直接從ARP緩存表里查找就可以了。其他用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機上網(wǎng)，切換的時候用戶會斷一次線。注意有使用SNMP的情況下，ARP的欺騙有可能導(dǎo)致陷阱包丟失。如圖24所示：圖24 ARP綁定、修改、刪除注意：(1) 進行綁定置前要確認(rèn)ARP表是正確的。但是，IP通信過程中總會碰上各種各樣的原因?qū)е峦ㄐ攀?，比如：目的地址不正確。圖31 ICMP保溫的兩級封裝從上圖中可以看出ICMP消息格式為IP頭加上自己的消息包，簡單的說就是：IP Header + ICMP Message，ICMP Message=Type（1）+Code（1）+CheckSum（2）+others每個ICMP報文都以相同的3個字段開始：1個16位校驗和字段用來識別報文，1個8位的代碼（CODE）字段提供有關(guān)報文類型的進一步信息，1個16位驗證字段。這此錯誤報文并不是主動發(fā)送的，而是由于錯誤，根據(jù)協(xié)議自動產(chǎn)生。當(dāng)攻擊目標(biāo)的各項性能指標(biāo)不高時，如CPU速度低，內(nèi)存小或者網(wǎng)絡(luò)帶寬小，這種攻擊效果是明顯的。如圖46所示：圖46 設(shè)置指派經(jīng)過這樣設(shè)置后，我們就完成了一個關(guān)注所有進入系統(tǒng)的ICMP報文的過濾策略和丟棄所有報文的過濾操作，從而阻擋攻擊者使用ICMP報文進行的。另外，感謝校方給予我這樣一次機會，能夠獨立地完成一個課題，并在這個過程當(dāng)中，給予我們各種方便，使我們在即將離校的最后一段時間里，能夠更多學(xué)習(xí)一些實踐應(yīng)用知識，增強了我們實踐操作和動手應(yīng)用能力，提高了獨立思考的能力。 還有一些攻擊使用ICMP Source Quench消息，導(dǎo)致網(wǎng)絡(luò)流量變慢，甚至停止。但是如是在目標(biāo)主機前有一個防火墻或者一個其他的過濾裝置，可能過濾掉信源發(fā)出的數(shù)據(jù)包，從而接收不到任何回應(yīng)。根據(jù)這個原理，出現(xiàn)了不少基于ICMP的攻擊軟件，有制造ICMP風(fēng)暴；有使用非常大的報文堵塞網(wǎng)絡(luò)的；有利用ICMP碎片攻擊消耗服務(wù)器CPU的；有掃描網(wǎng)絡(luò)，為發(fā)動Dos攻擊搜集信息的。ICMP主要是由連接在因特網(wǎng)上的某個結(jié)點（一般為路由器）檢測到IP數(shù)據(jù)因為某種原因無法繼續(xù)轉(zhuǎn)發(fā)或投遞時啟動ICMP報文的傳輸，一般ICMP消息在以下幾種情況下會被發(fā)送出來：(1) 當(dāng)數(shù)據(jù)報不能到達(dá)目的地時。ICMP協(xié)議本身的特點決定了它非常容易被用于攻擊網(wǎng)絡(luò)上的路由和主機。圖21 ARP綁定界面(3) 選擇“ARP映射表”，打開如下圖22界面。(3) 除非很有必要，否則停止使用ARP，將ARP做為永久條目保存在對應(yīng)表中。A對這個變化一點都有意識到，但是接下來的事情就讓A產(chǎn)生了懷疑。ARP協(xié)議的無連接、無認(rèn)證特性，使得局域網(wǎng)中的任何主機可隨意發(fā)送ARP請求包，也可以接收ARP應(yīng)答包，并且無條件的根據(jù)應(yīng)答包內(nèi)的內(nèi)容刷新本機的ARP緩存，因此ARP欺騙廣泛用于交換式以太網(wǎng)絡(luò)中。DOS攻擊主要分為網(wǎng)絡(luò)的帶寬攻擊和連通性攻擊。當(dāng)發(fā)送數(shù)據(jù)時，主機A會在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。不過，C發(fā)送的數(shù)據(jù)包又直接傳遞給A，倘若再次進行對C的ARP欺騙。(7) 管理員定期用響應(yīng)的IP包中獲得一個rarp請求，然后檢查ARP響應(yīng)的真實性。點擊條目右邊的“修改”就可以修改該條目的IP地址、MAC地址和綁定狀態(tài)，“刪除”刪掉該條目。還有其他的網(wǎng)絡(luò)命令如跟蹤路由的Tracert命令也是基于ICMP協(xié)議的。ICMP報文要求兩級封裝，如圖31所示。從子網(wǎng)掩碼服務(wù)器得到某個接口的地址掩碼。通過高速度的ICMP Echo Reply數(shù)據(jù)包，目標(biāo)網(wǎng)絡(luò)的帶寬瞬間就會被耗盡，阻止合法的數(shù)據(jù)通過網(wǎng)絡(luò)。這樣我們就有了一個關(guān)注所有進入ICMP報文的過濾策略和丟棄所有報文的過濾操作了。正是因為有了你們的幫助，才讓我不僅學(xué)到了本次課題所涉及的新知識，更讓我感覺到了知識以外的東西，那就是團結(jié)的力量。4 配置系統(tǒng)帶的默認(rèn)防火墻以預(yù)防攻擊雖然很多防火墻可以對ICMP數(shù)據(jù)包進行過濾,但沒有安裝防火墻的主機,(以WindowsXP為例):(1) 打開在電腦的桌面,右鍵點擊“開始→連接到→顯示所有連接→本地連接→屬性→Internet協(xié)議(TCP/IP)→屬性→高級→選項TCP/IP篩選屬性”如下圖41所示：(2) 在“TCP/IP篩選”窗口中，點擊選中“啟用TCP/IP篩選（所有適配器）”?；贗CMP的