【正文】 最后，感謝所有在這次畢業(yè)設計中給予過我?guī)椭娜?。感謝在整個畢業(yè)設計期間和我密切合作的同學，和曾經(jīng)在各個方面給予過我?guī)椭幕锇閭?，在大學生活即將結(jié)束的最后的日子里，我們再一次演繹了團結(jié)合作的童話，把一個龐大的，從來沒有上手的課題，圓滿地完成了。另外，感謝校方給予我這樣一次機會，能夠獨立地完成一個課題，并在這個過程當中，給予我們各種方便，使我們在即將離校的最后一段時間里，能夠更多學習一些實踐應用知識，增強了我們實踐操作和動手應用能力，提高了獨立思考的能力。為了不斷增強信息的全安防御能力，以用不斷深核及網(wǎng)絡協(xié)議的實現(xiàn)，并熟知針對各種攻擊手段的預防措施，只有這樣才能盡最大可能保證網(wǎng)絡的安全。通過網(wǎng)絡攻擊手段，可以直接攻擊大量的聯(lián)網(wǎng)機器，所以我們對黑客的攻擊必須加以重視和防范。如圖46所示：圖46 設置指派經(jīng)過這樣設置后，我們就完成了一個關(guān)注所有進入系統(tǒng)的ICMP報文的過濾策略和丟棄所有報文的過濾操作，從而阻擋攻擊者使用ICMP報文進行的。如圖44所示：圖44新篩選器操作(5) 點擊“IP安全策略，在本地機器”，選擇“創(chuàng)建IP安全策略→下一步→輸入名稱為ICMP過濾器”，通過增加過濾規(guī)則向?qū)?，把剛剛定義的“防止ICMP攻擊”過濾策略指定給ICMP過濾器，然后選擇剛剛定義“Deny的操作”。如圖43所示：圖43本地安全設置(4) 在“管理篩選操作”中，取消選中“使用添加向?qū)А?，單擊“添加”按鈕，在“常規(guī)”頁中輸入名稱為“Deny操作”，在“安全措施”頁中設置為“阻止”。然后分別在“TCP端口、UDP端口和IP協(xié)議”的添加框上，點擊“只允許”，后按添加按鈕，然后在跳出的對話框中輸入端口，通常我們用來上網(wǎng)的端口是：80、8080，而郵件服務器的端口是：2110，F(xiàn)TP的端口是21，同樣將UDP端口和IP協(xié)議相關(guān)進行添加。針對連接的DoS攻擊不能通過打補丁的方式加以解決，通過過濾適當?shù)腎CMP消息類型，一般防火墻可以阻止此類攻擊。 還有一些攻擊使用ICMP Source Quench消息，導致網(wǎng)絡流量變慢，甚至停止。針對的網(wǎng)絡連接的IP設備，因為它使用了合法的ICMP消息。使用適當?shù)穆酚蛇^濾則可以部分防止此類攻擊，如果完全防止這種攻擊，就需要使用基于狀態(tài)檢測的防火墻。當攻擊目標的各項性能指標不高時，如CPU速度低，內(nèi)存小或者網(wǎng)絡帶寬小，這種攻擊效果是明顯的。ICMP Echo Reply數(shù)據(jù)包具有較高的優(yōu)先級，在一般情況下，網(wǎng)絡總是允許內(nèi)部主機使用PING命令。Pingflood、pong、echok、flushot、fraggle和bloop是常用的ICMP攻擊工具。服務拒絕攻擊是最容易實施的攻擊行為。 ICMP攻擊及欺騙技術(shù)使用ICMP攻擊的原理實際上就是通過Pign大理的數(shù)據(jù)包使得計算機的CPU使用率居高不下而崩潰，一般情況下黑客通常在一個時段內(nèi)連續(xù)向計算機發(fā)出大量的請求而導致CUP占用率太高而死機。但是如是在目標主機前有一個防火墻或者一個其他的過濾裝置，可能過濾掉信源發(fā)出的數(shù)據(jù)包，從而接收不到任何回應。③ 當數(shù)據(jù)包分片，但卻沒有給接收端足夠的分片，接收端分片裝超時會發(fā)送分片組裝超時的ICMP數(shù)據(jù)報。① 向目標主機發(fā)送一個只有IP頭的IP數(shù)據(jù)包，目標將返回Destination Unreachable的ICMP錯誤報文。這此錯誤報文并不是主動發(fā)送的，而是由于錯誤，根據(jù)協(xié)議自動產(chǎn)生。發(fā)送地址屏蔽碼（Type=17）報文，請求返回設備的子網(wǎng)掩碼，據(jù)此可以確定將要用到的所有子網(wǎng)。向目的系統(tǒng)發(fā)送時間戳（Type=13）報文，請求返回目的系統(tǒng)的時間，可以獲得目標系統(tǒng)所在的時區(qū)。一臺主機向一個節(jié)點發(fā)送一個Type=8的ICMP報文，TCP協(xié)議需要的ICMP消息做出響應，如果途中沒有異常（如果路由器丟棄、目標不回應ICMP或傳輸失?。瑒t目標返回Type=0的ICMP報文，說明這臺主機存在。在這里我們利用ICMP協(xié)議的不同類型可以搜集目標主機的很多信息： (1) 網(wǎng)絡Ping掃射，尋找活動主機獲取一個真實網(wǎng)絡的最基本步驟之一是在某一個IP地址和網(wǎng)絡塊范圍內(nèi)執(zhí)行一輪自動Ping掃射，以確定某個具體的系統(tǒng)是否存活。根據(jù)這個原理，出現(xiàn)了不少基于ICMP的攻擊軟件，有制造ICMP風暴；有使用非常大的報文堵塞網(wǎng)絡的；有利用ICMP碎片攻擊消耗服務器CPU的；有掃描網(wǎng)絡，為發(fā)動Dos攻擊搜集信息的。下表列出了部分ICMP消息中類型和代碼的組合： 表31 ICMP消息類型和代碼組合類型代碼描述00回應應答（Ping，與類型8的Ping請求一起使用）30～15目的不可達40源端被關(guān)閉（基本流控制）50～3重定向80回應請求（Ping請求，與類型0的Ping應答一起使用）90路由器請求（與類型10一起使用）100路由器請求（與類型9一起使用）110～1超時120～1參數(shù)問題130時間戳請求（與類型14一起使用）140時間戳應答（與類型13一起使用）170地址掩碼請求（與類型18一起使用）180地址掩碼應答（與類型17一起使用） 使用ICMP協(xié)議搜集信息ICMP的使用者主要是路由器,接收者為IP數(shù)據(jù)報的源發(fā)主機端,但也可以由主機向一個特定的目的主機發(fā)出查詢報文。此外，報告差錯的ICMP報文還總是包括產(chǎn)生問題的數(shù)據(jù)報首部用其開頭的8個字節(jié)的數(shù)據(jù)。圖31 ICMP保溫的兩級封裝從上圖中可以看出ICMP消息格式為IP頭加上自己的消息包，簡單的說就是：IP Header + ICMP Message，ICMP Message=Type（1）+Code（1）+CheckSum（2）+others每個ICMP報文都以相同的3個字段開始：1個16位校驗和字段用來識別報文，1個8位的代碼（CODE）字段提供有關(guān)報文類型