伪装攻击 IP地址的洪水Ping攻击详解

安全 黑客攻防
本文主要向大家介绍了IP地址的洪水Ping攻击的过程,希望大家通过以下内容可以获得帮助。

Ping是通过发送ICMP报文(类型8代码0)探寻网络主机是否存在的一个工具,很久以前,一部分操作系统(例如win95),不能很好处理过大的Ping包,导致出现了Ping to Death的攻击方式(用大Ping包搞垮对方或者塞满网络),随着操作系统的升级,网络带宽的升级、计算机硬件的升级。

目前,大Ping包基本上没有很大的攻击效果(分布式攻击除外),如果一定要使用Ping包去攻击别的主机,除非是利用TCP/IP协议的其他特性或者网络拓扑结构的缺陷放大攻击的力度(所谓正反馈)

正常情况下,Ping的流程是这样的:

主机A发送ICMP 8,0报文给主机B

主机B回送ICMp 0,0报文给主机A

因为ICMP基于无连结,所以就给了我们可乘之机,假设现在主机A伪装成主机C发送ICMP 8,0报文,结果会怎么样呢?显然,主机B会以为是主机C发送的报文而去回应主机C,结构如下:

伪装为主机C 错误的回复主机A--------------------->主机B------------------>主机C

这种情况下,由于主机A只需要不断发送Ping报文而不需要处理返回的EchoReply,所以攻击力度成倍的增加,同时实际上主机B和主机C都是被进攻的目标,而且不会留下自己的痕迹,是一种隐蔽的一石二鸟的攻击方法。

上面的方法用SOCK_RAW伪装IP就可以轻松实现,不过即使放大了两倍,对于比较强壮的操作系统和较大的带宽,也不见得有多大的效果,难道我们又来组织运动?不好吧,还是让敌人给我们放大好了,TCP/IP中有一个概念叫做广播。

所谓广播的意思是说有一个地址,任何局域网内的主机都会接收发往这个地址的报文(就像电台广播一样),如果我们往广播地址发送一个ICMP ECHO报文(就是Ping广播地址一下),结果会得到非常多的回应。

以太网内每一个允许接收广播报文的主机都会回应一个ICMP_ECHOREPLY,如果你想试验,可以在unix的机器上Ping一下你局域网的广播地址,会看到很多回应的的dup包,就是重复的应答。

windows系统上不会有这样的结果,因为微软的Ping程序不对多个回应进行解包,收到第一个包以后就丢弃后面的了,同样微软的系统默认也不回应广播地址的包,所以你最好在一个大量unix主机的局域网内测试。

当我们伪装成被攻击主机向一个广播地址发送Ping请求的时候,所有这个广播地址内的主机都会回应这个Ping请求,这样,相当于是N倍的攻击力度!(N=广播地址内回应Ping包的主机数量)

伪装为主机C 所有广播主机都会错误的回复

主机A--------------------->广播地址=========================>主机C

FakePing的工具,可以在Http://www.patching.net/shotgun/FakePing.exe下载。

使用方法是FakePing.exe FakeIP TargetIP [PacketSize],如果TargetIP是广播地址,那么FakeIP是被攻击目标。

IP地址的洪水Ping攻击的过程就已经向大家介绍完了,至于代码部分,我们会在以后的文章中为大家整理出来。

【编辑推荐】

  1. 如何抓住黑客入侵Windows系统
  2. 如何抓住黑客入侵Windows系统 续
  3. 如何通过视觉分析改进IT网络安全
责任编辑:佚名 来源: 计世网
相关推荐

2009-07-19 22:12:53

2010-09-25 15:36:42

2009-11-17 18:09:15

2011-07-21 10:05:39

2010-09-16 11:05:43

2021-09-03 07:23:59

哈希洪水攻击黑客DDoS

2010-09-29 12:52:14

2019-08-22 07:24:25

2014-04-09 14:15:23

2010-09-25 16:08:40

2010-09-25 15:52:01

2010-08-13 10:31:06

2010-08-10 13:25:14

2021-11-23 10:58:08

IP源地址DDoS攻击网络攻击

2010-09-15 10:30:01

2009-12-09 11:43:31

2010-09-07 09:58:11

2010-09-25 14:34:09

2022-08-04 23:38:15

安全恶意软件防火墙

2011-03-31 11:20:18

点赞
收藏

51CTO技术栈公众号