ICMP flood攻击原理:
ICMP全称Internet Control Message Protocol(网际控制信息协议)。ICMP与我们息息相关,在网络体系结构的各层次中,都需要控制, 而不同的层次有不同的分工和控制内容,IP层的控制功能是最复杂的,主要负责差错控制、拥塞控制等,任何控制都是建立在信息的基础之上的,在基于IP数据 报的网络体系中,网关必须自己处理数据报的传输工作,而IP协议自身没有内在机制来获取差错信息并处理。为了处理这些错误,TCP/IP设计了ICMP协 议,当某个网关发现传输错误时,立即向信源主机发送ICMP报文,报告出错信息,让信源主机采取相应处理措施,它是一种差错和控制报文协议,不仅用于传输 差错报文,还传输控制报文。 ICMP报文包含在IP数据报中,属于IP的一个用户,IP头部就在ICMP报文的前面,所以一个ICMP报文包括IP头部、ICMP头部和ICMP报文,IP头部的Protocol值为1就说明这是一个ICMP报文,ICMP头部中的类型 (Type)域用于说明ICMP报文的作用及格式,此外还有一个代码(Code)域用于详细说明某种ICMP报文的类型,所有数据都在ICMP头部后面。 RF
C定义了13种ICMP报文格式,具体如下:
类型代码 类型描述
0 响应应答(ECHO-REPLY)
3 不可到达
4 源抑制
5 重定向
11 超时
12 参数失灵atcc25922
13 时间戳请求
14 时间戳应答
15 信息请求(*已作废)
16 信息应答(*已作废)
17 地址掩码请求
18 地址掩码应答
万苏林30r
其中代码15、16的信息报文已经作废
下面是几种常见的ICMP报文:
iec标准1.响应请求
我们日常使用最多的ping,就是响应请求(Type=8)和应答(Type=0),一台主机向一个节点发送一个Type=8的ICMP报文,如果途中没 有异常(例如被路由器丢弃、目标不回应ICMP或传输失败),则目标返回Type=0的ICMP报文,说明这台主机存在,更详细的tracert通过计算 ICMP报文通过的节点来确定主机与目标之间的网络距离。
2.目标不可到达、源抑制和超时报文
这三种报文的格式是一样的,目标不可到达报文(Type=3)在路由器或主机不能传递数据报时使用,例如我们要连接对方一个不存在的系统端口(端口号小于 1024)时,将返回Type=3、Code=3的ICMP报文,它要告诉我们:“嘿,别连接了,我不在家的!”,常见的不可到达类型还有网络不可到达 (Code=0)、主机不可到达(Code=1)、协议不可到达(Code=2)等。源抑制则充当一个控制流量的角,它通知主机减少数据报流量,由于 ICMP没有恢复传输的报文,所以只要停止该报文,主机就会逐渐恢复传输速率。最后,无连接方式网络的问题就是数据报会丢失,或者长时间在网络游荡而不 到目标,或者拥塞导致主机在规定时间内无法重组数据报分段,这时就要触发ICMP超时报文的产生。超时报文的代码域有两种取值:Code=0表示传输超 时,Code=1表示重组分段超时。
3.时间戳
时间戳请求报文(Type=13)和时间戳应答报文(Type=14)用于测试两台主机之间数据报来回一次的传输时间。传输时,主机填充原始时间戳,接收方收到请求后填充接收时间戳后以Type=14的报文格式返回,发送方计算这个时间差。一些系统不响应这种报文。
ICMP Flood 的攻击属于流量型攻击方式,利用大的流量给服务器带来较大的负载,影
响服务器正常运行。ping 使用的是echo应答,ping的速度很慢仅为1-5包/秒,事实上ICMP本身并不慢(由于ICMP是SOCK_RAW产生的原始报文,速度比SOCK_STREAM的SYN和SOCK_DGRAM的UDP要快几乎 10倍!),这样的速度是ping程序故意延迟的。并且必须等待目标主机返回REPLAY信息,这个过程需要花费大量的时间。而Flood——洪水,是速度极快的,当一个程序发送数据包的速度达到了每秒1000个以上,它的性质就成了洪水产生器,洪水数据是从洪水产生器里出来的。但这样还不够,没有足够的带宽,再猛的洪水也只能像公路塞车那样慢慢移动,成了鸡肋。要做真正的洪水,就需要有一条足够宽的高速公路才可以。
ICMP flood攻击分为三种方式:
1、 直接flood。直接使用自己的机器去攻击别人,这要求有足够的带宽。直接攻击会暴露自己IP地址,一般不常见。
简单示意图:
ICMP
攻击者[IP=211.97.54.3]--------------------------------->受害者[截获攻击者IP=211.97.54.3]==>换IP回来反击
2、 伪造IP的Flood。它随意伪造一个IP来flood。属于比较隐蔽阴险的flood。
简单示意图:
伪造IP=1.1.1.1的ICMP
攻击者[IP=211.97.54.3]--------------------------------->受害者[截获攻击者IP=1.1.1.1]
3、 反射。用采取这种方式的第一个工具的名称来命名的“Smurf”洪水攻击,把隐蔽性又提高了一个档次,这种攻击模式里,最终淹没目标的洪水不是由攻击者发出的,也不是伪造IP发出的,而是正常通讯的服务器发出的。Smurf方式把源IP设置为受害者IP,然后向多台服务器发送ICMP报文(通常是ECHO请求),这些接收报文的服务器被报文欺骗,向受害者返回ECHO应答(Type=0),导致垃圾阻塞受害者的门口……
简单示意图:
炎症介质
伪造受害者的ICMP 应答
攻击者[IP=211.97.54.3]-------------------------->正常的主机--------------->受害者[截获攻击者IP=……网易?!]
ICMP flood攻击检测:
综上所述,对于ICMP的Flood攻击的检测方法,主要通过计算单位时间内通过的ICMP数据包的数量如果过大于ICMP流量的峰值则认为是ICMP攻击。该ICMP流量峰值主要通过积累和比较获得的经验值。
检查每一个数据包,检测到ICMP协议的(ICMP的协议号是0x01),将该包记录到现有的Hash树中,分别记录ICMP包中类型为0 的响应应答(ECHO-REPLY)和类型为8的响应请求(ECHO-REQUEST)的数量。正常状态相应请求和相应应答应该是一个数量级的,如果发现到移动地址有大量的相应请求,而响应应答很少,则可以判定该移动IP地址被ICMP flood攻击。反过来如果哦移动地址有大量的相应请求,而外网地址相应应答很少,
2010年广东高考作文则可以判定该外网地址被ICMP flood 攻击。
另外在查阅资料时,还有一种ICMP攻击式。如果发现IP头部的MF(分片标识)为1,offset为0的ICMP协议的数据包就是ICMP flood攻击。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议