ICMP DoS攻击原理与防御方法 - TWAREN.PPT

ICMP DoS攻擊原理與防禦方法 A0933357 邱爾盛 ICMP DoS攻擊 ICMP（Internet Control Message Protocol）是TCP/IP通訊協定中定義封包的一種，主要功能是用來在網路上傳遞一些簡單的控制訊號。 ICMP DoS攻擊主要有以下兩種手法： Ping of Death Smurf攻擊 Ping of Death 利用Ping這支程式產生超過IP協定最大封包限制的封包(max = 65535bytes)。 接收者的作業系統沒有作檢查的功能，使得系統當機，有這個bug的OS有Unix、Mac、Netware。 也可能這些超大封包會fragmentation，但最後受害者還是會重組回來，造成Buffer Overflow而當機。 Smurf 以程式利用IP Protocol來傳送大量的Ping Message到給Internet上許多機器，造成產生大量的Reply Message造成網路的癱瘓。 也可以將欲攻擊主機的IP設為該封包Source IP Address，並且送到Broadcast位址，造成大數量的Reply Message回傳給受害者。 對ICMP Dos攻擊的防禦 最近的新版作業系統都已經對Ping of Death做了漏洞修補，或可將其傷害控制在一定的範圍中，因此相對的危害不並算大。本節重點為討論另一種較為嚴重而難以防範的Smurf攻擊。 主要的解決方法都是基於Huegen所提出的幾個對策[13]，我們將在下面討論其作法。 關閉broadcast功能 將區域網路內的router的廣播功能關閉。由於Smurf攻擊中的重點就是「將小量的ICMP封包透過router的廣播功能，傳送給在網段上的每一台電腦」，因此router在這場攻擊中扮演著舉足輕重的放大器（amplifier）角色。 實行封包過濾 由於典型的Smurf攻擊手法是「從外部網路傳送假造來源IP的ICMP封包」，因此另一種防禦方法是，在內部網路對外聯繫的窗口，如router（或防火牆，如果有建立的話），實行封包過濾功能，阻擋外界不正常的ICMP封包（如來源IP為內部網路）進入。 關閉ICMP Echo Reply功能 Huegen所提的最終解決方案是對Smurf攻擊的回應封包來源做處理，亦即關閉在此網路上的每台主機對於ICMP Echo Request的回應。雖然這是很基本的防禦措施，但這樣做有兩個缺點，一是會將正常的Echo Request Reply功能給擋掉，使得”Ping”指令無法使用，有可能會對網路系統的測試與管理，產生一些限制。 來源 .tw/adc/papers/thesis/00B02.htm ＴＨＥ　ＥＮＤ * * * *