ICMP协议分析PPT.pptVIP

ICMP协议分析 小组成员 @李程 @莫栩 @徐太星 @蓝江琴 @王瑞瑛 TCP/IP协议原理与应用 ICMP简介 ICMP是（Internet Control Message Protocol）Internet控制报文协议。 ICMP协议是一种面向无连接的协议，它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递和网络安全具有极其重要的意义。 ICMP的两级封装 ICMP首部 ICMP数据 IP数据报首部 IP数据报数据区 帧首部 帧数据区 ICMP报头 类型（8位） 代码（8位） 校验和（16位） 消息内容 (不同的类型和代码，格式也有所不同) ICMP应用 ICMP应用 - Ping Ping这个单词源自声纳定位，而这个程序的作用也确实如此，它利用ICMP协议包来侦测另一个主机是否可达。原理是用类型码为0的ICMP发请 求，受到请求的主机则用类型码为8的ICMP回应。Ping程序来计算间隔时间，并计算有多少个包被送达。用户就可以判断网络大致的情况。我们可以看到， Ping给出来了传送的时间和TTL(Time To Live:生存时间) 的数据。 ICMP应用 - Tracert Tracert（Trace Route的缩写）是路由跟踪实用程序，用于确定 IP 数据报访问目标所采取的路径。Tracert 命令用 IP 生存时间 (TTL) 字段和 ICMP 错误消息来确定从一个主机到网络上其他主机的路由。 ICMP报文类型码 类型代码 类型描述 0 响应应答（ECHO-REPLY）? 3 不可到达? 4 源抑制? 5 重定向 8 响应请求（ECHO-REQUEST） 11 超时 12 参数失灵? 13 时间戳请求? 14 时间戳应答 17 地址掩码请求 18 地址掩码应答 ICMP报文类型 ICMP报文类型 ICMP安全性 ICMP协议对于网络安全具有极其重要的意义。ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机。例如，在1999年8月海信集团“悬赏”50万元人民币测试防火墙的过程中，其防火墙遭受到的ICMP攻击达334050次之多，占整个攻击总数的90%以上！可见，ICMP的重要性绝不可以忽视！ Ping Of Death 利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定，向主机发起“Ping of Death”（死亡之Ping）攻击。“Ping of Death” 攻击的原理是：如果ICMP数据包的尺寸超过64KB上限时，主机就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使主机死机。（现在的操作系统已经取消了发送ICMP数据包的大小的限制） 应对措施 对于“Ping of Death”攻击，可以采取两种方法进行防范： ICMP洪水攻击 洪水，顾名思义，是速度极快的，当一个程序发送数据包的速度达到了每秒1000个以上，它的性质就成了洪水产生器，洪水数据是从洪水产生器里出来的，但这样还不够，没有足够的带宽，再猛的洪水也只能像公路塞车那样慢慢移动，成了鸡肋。要做真正的洪水，就需要有一条足够宽的高速公路才可以。 由于ping.exe无法提速，这就需要专门的工具来做洪水了。足够快的数据包速度足够的带宽，这才是洪水。 应对措施 配置防火墙以预防攻击，用户应该配置一个合理的安全策略。以下是被普遍认可的防火墙安全配置惯例，可供管理员在系统安全性和易用性之间作出权衡。 　　防火墙应该强制执行一个缺省的拒绝策略。除了出站的ICMP Echo Request、出站的ICMP Source Quench、进站的TTL Exceeded和进站的ICMP Destination Unreachable之外，所有的ICMP消息类型都应该被阻止。 演示结束，敬请批评指正！ PPT制作 @李大忽悠哦