攻防战略 ICMP常见攻击及防范措施

核心提示： 还有一些攻击使用ICMP Source Quench消息，导致网络流量变慢，攻防战略 ICMP常见攻击及防范措施(2)，甚至停止，Redirect和Router Announcement消息被利用来强制受害主机使用一个并不存在的路由器，现在许多防火墙在默认情况下都启用了ICMP过滤的功能，

还有一些攻击使用ICMP Source Quench消息，导致网络流量变慢，甚至停止。Redirect和Router Announcement消息被利用来强制受害主机使用一个并不存在的路由器，或者把数据包路由到攻击者的机器，进行攻击。针对连接的DoS攻击不能通过打补丁的方式加以解决，通过过滤适当的ICMP消息类型，一般防火墙可以阻止此类攻击。

基于重定向(redirect)的路由欺骗技术

首先我们应该知道，微软的Windows98和NT系统都保持着一张已知的路由器列表，列表中位于第一项的路由器是默认路由器，如果默认路由器关闭，则位于列表第二项的路由器成为缺省路由器。缺省路由向发送者报告另一条到特定主机的更短路由，就是ICMP重定向。

攻击者可利用ICMP重定向报文破坏路由，并以此增强其窃听能力。除了路由器，主机必须服从ICMP重定向。如果一台机器想网络中的另一台机器发送了一个ICMP重定向消息，这就可能引起其他机器具有一张无效的路由表。如果一台机器伪装成路由器截获所有到某些目标网络或全部目标网络的IP数据包，这样就形成了窃听。通过ICMP技术还可以抵达防火墙后的机器进行攻击和窃听。

据笔者观察，目前所有基于ICMP路由欺骗的技术都是停留在理论上的论述， 没有找到相关的具体攻击实例和原程序

配置防火墙以预防攻击

一旦选择了合适的防火墙，用户应该配置一个合理的安全策略。一般除了出站的ICMP Echo Request、出站的ICMP Source Quench、进站的TTL Exceeded和进站的ICMP Destination Unreachable之外，所有的ICMP消息类型都应该被阻止。

现在许多防火墙在默认情况下都启用了ICMP过滤的功能。如果没有启用，只要选中“防御ICMP攻击”、“防止别人用ping命令探测”就可以了。