在ICMP协议中,最具有特点的就是ICMP洪水的性质。在这方面我们来做一个具体的介绍。看看都有哪些形式的ICMP洪水。那么下面我们还进行了一些简单示例,帮助大家进行分析。
不同方式的ICMP洪水
1.直接ICMP洪水
要做这个的首要条件是你的带宽够,然后就是要一个好用的ICMP Flooder,别用ping.exe那种探路用的垃圾,例如我以前发布的AnGryPing,发包速度达到6000---9000包/秒(512 Kbps ADSL),默认是32bytes的ECHO报文洪水,用它即使不能flood别人下去,防火墙也叫得够惨的了.直接攻击会暴露自己IP(如果对方没有还击能力那还无所谓,固定IP用户不推荐使用这种Flood),直接Flood主要是为了顾及Win9x/Me不能伪造IP的缺陷,否则一般还是别用为妙.
简单示意:
ICMP
攻击者[IP=211.97.54.3]--------------->受害者[截获攻击者IP=211.97.54.3]==>换IP回来反击
2.伪造IP的Flood
如果你是Win2000/XP并且是Administrator权限,可以试试看FakePing,它能随意伪造一个IP来Flood,让对方摸不到头脑,属于比较隐蔽阴险的ICMP洪水
简单示意:
伪造IP=1.1.1.1的ICMP
攻击者[IP=211.97.54.3]--------->受害者[截获攻击者IP=1.1.1.1]==>
3.反射
用采取这种方式的第一个工具的名称来命名的"Smurf"洪水攻击,把隐蔽性又提高了一个档次,这种攻击模式里,最终淹没目标的洪水不是由攻击者发出的,也不是伪造IP发出的,而是正常通讯的服务器发出的!
实现的原理也不算复杂,Smurf方式把源IP设置为受害者IP,然后向多台服务器发送ICMP报文(通常是ECHO请求),这些接收报文的服务器被报文欺骗,向受害者返回ECHO应答(Type=0),导致垃圾阻塞受害者的门口……
从示意图可以看出,它比上面两种方法多了一级路径——受骗的主机(称为"反射源"),所以,一个反射源是否有效或者效率低下,都会对ICMP洪水效果造成影响!
简单示意:
伪造受害者的ICMP 应答
攻击者[IP=211.97.54.3]--------->正常的主机------>受害者[截获攻击者IP=……网易?!]==>
以上是几种常见的ICMP洪水方式,在测试中,我发现一个有趣的现象:一些防火墙只能拦截ECHO请求(Ping)的ICMP报文,对于其他ICMP报文一概睁只眼闭只眼,不知道其他防火墙有没有这个情况.所以想神不知鬼不觉对付你的敌人时,请尽量避开直接ECHO Flood,换用Type=0的ECHO应答或Type=14的时间戳应答最好,其他类型的ICMP报文没有详细测试过,大家可以试试看Type=3、4、11的特殊报文会不会有更大效果.