ICMP攻击实验

应用场景

随着计算机网络的普及和发展，人们利用网络可以方便快捷地进行各种信息处理，例如，网上办公、电子商务、分布式数据处理等。但网络也存在不容忽视的问题，例如，用户的数据被篡改、合法用户被冒充、通信被中断等。面临着大量的网络入侵事件，就必须要求在一个开放式的计算机网络物理环境中构造一个封闭的逻辑环境来保障敏感信息和保密数据不受到攻击。为此迫切需要对网络安全作分类研究，把各种网络安全问题清楚有序地组织起来，从而构建一个合理、安全、高效的网络防御体系。

网络安全保护的核心是如何在网络环境下保证数据本身的秘密性、完整性与操作的正确性、合法性与不可否认性。而网络攻击的目的正相反，其立足于以各种方式通过网络破坏数据的秘密性和完整性或进行某些非法操作。

网络及其应用的广泛发展，安全威胁呈现出攻击的种类、方法和总体数量越来越多、破坏性和系统恢复难度也越来越大。这就要求我们对攻击方法有更进一步的研究;对安全策略有更完善的发展，建立起一个全面的、可靠的、高效的安全体系。

DDOS 全名是Distribution Denial of service (分布式拒绝服务攻击)，指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS 攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS 主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在Internet 上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

不同方式的ICMP 洪水:

1.直接Flood

首要条件是带宽够大，然后要求有一个好用的ICMP Flooder，例如AnGryPing，发包速度达到6000‐9000 包/秒(512 Kbps ADSL)，默认是32bytes 的ECHO 报文洪水。

直接攻击会暴露自己IP(如果对方无还击能力那就无所谓，否则固定IP 用户不推荐使用这种Flood)。

2.伪造IP 的Flood

如果是Win2000/XP 并且是Administrator 权限，可以试用FakePing，它能随意伪造一个IP 来Flood，让对方无可下手，属于比较隐蔽阴险的Flood。

3.反射

采取这种方式的第一个工具的名称来命名的“Smurf”洪水攻击，把隐蔽性又提高了一个档次，这种攻击模式里，最终淹没目标的洪水不是由攻击者发出，也不是伪造IP 发出，而是正常通讯的服务器发出的。

实现的原理很简单，Smurf 方式把源IP 设置为受害者IP，然后向多台服务器发送ICMP 报文(通常是ECHO 请求)，这些接收报文的服务器被报文欺骗，向受害者返回ECHO 应答(Type=0)，导致受害者的通道被阻塞。

实验目标：

●理解ICMP 攻击原理

●熟悉ICMP 攻击方法

●熟悉抵御ICMP 攻击的方法

实验环境：

虚拟机：Windows 2003 ,xdos, Wireshark抓包软件

实验过程指导：

启动虚拟机，并设置虚拟机的IP 地址，以虚拟机为目标主机进行攻防试验。个别实验学生可以以2 人一组的形式，互为攻击方和被攻击方来做实验。

1. 启动fakeping

在IP 为192.168.1.15,复制Fakeping到C盘创建的HH目录下，在MSDOS进入并启动fakeping，具体如下图所示。

Fakeping 使用如下：Fakeping 伪装的源地址（被攻击主机）目的地址数据包大小举例说明： fakeping 192.168.1.43 192.168.1. 100 IP 末尾为15 的主机向192.168.1.10 发送伪装icmp 请求信息，请求信息的源地址为192.168.1.43。如下图

2. 监听192.168.1.15 主机上的数据包

3. 观察被攻击主机抓取被攻击主机及192.168.1.43 的数据包如下，并分析

可以看到，192.168.1.43 主机在没有发送icmp 请求的的情况下却收到大量的icmp 响应数据包。该数据包即为192.168.1.15 伪造的源地址为192.168.1.43 的发给192.168.1.100 的请求数据包的响应icmp 数据包。

当大量的主机发送伪造的icmp 请求数据包，且源地址均为同一个域攻击主机，则当同时工作时，被攻击主机会耗费大量的计算机资源去处理请求数据包，从而形成了icmp 分布式攻击。

【实验思考】

该种攻击方式可否用于其它协议的攻击中？