互联网控制报文协议(ICMP)安全剖析

安全
ICMP FLOOD攻击实际上是一种两败俱伤的攻击方式,在主机“疯狂”地向攻击目标发送ICMP消息的时候,主机也在消耗自身的系统资源……

ICMP全称Internet Control Message Protocol,中文名为互联网控制报文协议。它工作在OSI的网络层,向数据通信中的源主机报告错误。ICMP可以实现故障隔离和故障恢复。网络本身是不可靠的,在网络传输过程中,可能会发生许多突发事件并导致数据传输失败。网络层的IP协议是一个无连接的协议,它不会处理网络层传输中的故障,而位于网络层的ICMP协议恰好弥补了IP的缺限,它使用IP协议进行信息传递,向数据包中的源端节点提供发生在网络层的错误信息反馈。

ICMP的报头长8字节,结构如图1所示。

[[126869]]

图1 ICMP报头结构

其各字段具体含义如下:

· 类型:标识生成的错误报文,它是ICMP报文中的第一个字段;

· 代码:进一步地限定生成ICMP报文。该字段用来查找产生错误的原因;

· 校验和:存储了ICMP所使用的校验和值;

· 未使用:保留字段,供将来使用,缺省值设为0;

· 数据:包含了所有接收到的数据报的IP报头。还包含IP数据报中前8个字节的数据。

ICMP协议提供的诊断报文类型如表1所示。

互联网控制报文协议(ICMP)安全剖析

表1 ICMP诊断报文类型

ICMP提供多种类型的消息为源端节点提供网络层的故障信息反馈,它的报文类型可以归纳为以下5个大类:

· 诊断报文(类型8,代码0;类型0,代码0);

· 目的不可达报文(类型3,代码0-15);

· 重定向报文(类型5,代码0-4);

· 超时报文(类型11,代码0-1);

· 信息报文(类型12-18)。

ICMP安全问题分析

由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64KB上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接收方宕机。这就是所说的“ping of death”,现在网络上很多号称能够致使系统死机的软件都基于这个原理,我们所熟悉的Windows上的攻击工具“Winnuke”就是一个典型的例子。

对路由器而言,向Intel Express Switch或其后的主机发送畸形的ICMP包可能导致系统崩溃。通过本地或远程发送的畸形包能蒙骗服务器。当服务器收到畸形的ICMP包时,它将继续检查才对,不然它将丢失所有的路由功能,而且将不检查其他连接了。主要影响Intel Express Switch 500 系列。另外,Windows也有拒绝服务漏洞,对 Windows 98/NT/2000都有影响 ,当如上系统收到非法碎片包,包含不合法碎片 ICMP ECHOs(pings)和UDP packets攻击,Windows系统会拒绝服务,直至CPU占用率达到100%,最后系统崩溃。

ICMP重定向提供了一种相当有效的DoS(Denial of Services,拒绝服务攻击)。不像ARP入口,这些特定主机路由入口永不过期。注意,攻击没有要求必须从局域网内发起,事实可以从广域网上发起。如果子网所用DNS位于网关外,产生一个到该DNS的错误路由是很容易的。

另外,大量的ICMP消息发送给目标系统,使得它不能够对合法的服务请求做出响应。中美黑客大战中的多数中国黑客采用的正是此项技术。ICMP FLOOD攻击实际上是一种两败俱伤的攻击方式,在主机“疯狂”地向攻击目标发送ICMP消息的时候,主机也在消耗自身的系统资源。如果自身的网络资源小于目标的话,这种攻击就是“蚍蜉撼大树”。因此,ICMP FLOOD攻击为了达到很好的效果,往往要联合多台机器同时攻击同一台机器,从而形成分布式拒绝服务攻击(DDoS)。

出于系统安全性的考虑,在ICMP中有八条配置命令,可以分别用来禁止或使能四种类型的ICMP报文的发送。

· ICMP echo enable,ICMP echo disable,利用这两条命令可以使能或禁止ICMP的echo reply报文的发送。一旦禁止该类型的报文,从其他机器利用ping命令搜索该路由器时,路由器将不作出反应。

· ICMP mask enable,ICMP mask disable,利用这两条命令可以使能或禁止ICMP的Mask Reply报文的发送。当在路由器上禁止该类型的报文时,路由器对于来自其他机器的mask reguest请求不作出反应。

· ICMP unreach enable,ICMP unreach disable,利用这两条命令可以使能或禁止Destination Unreachable报文的发送。当在路由器上禁止该类型的报文时,路由器对于其无法转发的IP报文将不再向其源地址发送Destination Unreachable的报文。利用show ICMP命令可以观察当前ICMP以上各项的设置。

· ICMP redirect enable,ICMP redirect disable,利用这两条命令可以使能或禁止ICMP的重定向(redirect)报文的发送。当在路由器上禁止该类型的报文时,路由器对于可能的路由错误不作出反应。

避免ICMP重定向欺骗的最简单方法是将主机配置成不处理ICMP重定向消息,在Linux下可以利用防火墙明确指定屏蔽ICMP重定向包。

另一种方法是验证ICMP的重定向消息。例如检查ICMP重定向消息是否来自当前正在使用的路由器。这要检查重定向消息发送者的IP地址并校验该IP地址与ARP高速缓存中保留的硬件地址是否匹配。ICMP重定向消息应包含转发IP数据报的头信息。报头虽然可用于检验其有效性,但也有可能被窥探仪加以伪造。无论如何,这种检查可增加你对重定向消息有效性的信心,并且由于无须查阅路由表及ARP高速缓存,所以做起来比其他检查容易一些。

责任编辑:蓝雨泪 来源: TechTarget中国
相关推荐

2011-08-24 15:44:12

icmp中文man

2023-09-07 11:36:30

网络协议互联网

2012-11-26 16:53:03

2023-12-06 09:37:14

接口协议物联网

2011-08-19 11:33:32

2022-07-07 18:03:15

网络协议网络通信

2021-12-26 00:20:13

网协议语音VoIP

2014-10-11 09:16:59

互联网协议

2010-06-17 23:25:09

互联网协议

2021-11-01 09:54:45

互联网安全协议IPSec网络协议

2015-12-24 11:14:04

2013-02-05 16:34:36

谷歌国际互联网安全日

2009-06-15 08:48:23

2010-09-07 11:42:58

2013-04-12 13:29:54

互联网安全

2015-06-24 15:35:54

2018-09-01 05:39:48

2015-10-08 15:20:34

互联网物联网

2017-05-05 10:00:26

互联网取药智能药柜

2015-05-28 13:58:33

点赞
收藏

51CTO技术栈公众号