您现在的位置是:首页 > 生活问答 >正文

今日icmp数据包(icmp数据包)

发布时间:2022-06-13 17:37:01柴航山来源:

导读大家好,小良来为大家解答以上问题。icmp数据包,icmp数据包很多人还不知道,现在让我们一起来看看吧!互联网控制信息协议.[响应ICMP攻击]...

大家好,小良来为大家解答以上问题。icmp数据包,icmp数据包很多人还不知道,现在让我们一起来看看吧!

互联网控制信息协议.

[响应ICMP攻击]

虽然ICMP协议给了黑客可乘之机,但ICMP攻击并非不可救药。只要在日常网络管理中未雨绸缪,做好准备,就可以有效避免ICMP攻击带来的损失。

对于“死亡Ping”攻击,可以采用两种方法进行防范:第一种方法是在路由器上限制互联网控制报文协议的带宽,将ICMP占用的带宽控制在一定范围内,这样即使有ICMP攻击,其占用的带宽也非常有限,对整个网络影响不大;第二种方法是在主机上设置互联网控制报文协议的处理规则,最好将所有互联网控制报文协议设置为拒绝。

设置互联网控制报文协议处理规则也有两种方式,一种是在操作系统上设置包过滤,另一种是在主机上安装防火墙。具体设置如下:

[1.在Windows 2000 Server中设置ICMP过滤]

Windows 2000 Server提供路由和远程访问服务,但默认情况下没有启动,所以您应该先启动它:单击管理工具中的路由和远程访问来启动安装向导。选择“手动配置服务器”项目,然后单击[下一步]按钮。过了一会儿,系统会提示“路由和远程访问服务现已安装。您想启动该服务吗?单击[是]按钮启动服务。

图1

服务启动后,“IP路由”会出现在计算机名的分支下。单击它以展开分支,然后单击“常规”。服务器中的网络连接(即网卡)将出现在右侧。用鼠标右键单击要配置的网络连接,在弹出菜单中单击属性,会弹出网络连接属性窗口,如图1所示。

图1中有两个按钮,一个是“输入过滤器”(指过滤本服务器接受的数据包),另一个是“输出过滤器”(指过滤本服务器发送的数据包)。在这里,您应该单击[输入过滤器]按钮,然后会弹出一个“添加过滤器”窗口。然后点击【添加】按钮,添加一个过滤条件。

在“协议”右边的下拉列表中选择“ICMP”,在下面的ICMP类型和ICMP代码中输入“255”,代表图2中所有ICMP类型及其代码。ICMP有许多不同的类型(Ping是一种类型),每种类型都有许多不同的状态,用不同的“代码”来表示。因为它的类型和编码都很复杂,这里就不描述了。

点击[OK]按钮返回到“输入过滤器”窗口,在“过滤器”列表中会多一项(如图2所示)。单击[确定]按钮返回“本地连接”窗口,然后单击[确定]按钮。此时,过滤器将生效,从其他计算机ping该主机将不会成功(图3)。

[2.用防火墙设置ICMP过滤]

现在很多防火墙默认开启ICMP过滤功能。如果没有启用,只需勾选“防止ICMP攻击”和“防止他人ping”,如图3所示。

[编辑此段]防御基于ICMP的网络攻击的方法

[1][2]选择合适的防火墙。

为了有效地防止ICMP攻击,防火墙应该具有状态检测、仔细的数据包完整性检查和良好的过滤规则控制功能。

状态检测防火墙通过跟踪其连接状态,动态地允许传出数据包的响应信息进入受防火墙保护的网络。比如状态检测防火墙可以记录一个传出的PING(ICMP Echo Request),在接下来的一定时间内,允许目标主机响应的ICMP Echo Reply会直接发送到之前发出PING命令的IP,其他ICMP Echo Reply消息会被防火墙屏蔽。相反,包过滤类型的防火墙允许所有ICMP回应回复消息进入受防火墙保护的网络。许多基于Linux内核2.2或更早版本的路由器和防火墙系统都属于包过滤类型,因此用户应避免选择这些系统。

新的攻击不断出现,防火墙只能阻止已知的攻击是远远不够的。通过仔细分析所有数据包并删除非法数据包,防火墙可以防止已知和未知的DoS攻击。这要求防火墙能够检查数据包的一致性。安全策略需要小心控制ICMP。因此,防火墙应该允许过滤ICMP类型、代码和数据包大小,并可以控制连接时间和ICMP数据包的生成速率。

配置防火墙以防止攻击。

一旦选择了合适的防火墙,用户就应该配置合理的安全策略。以下是普遍接受的防火墙安全配置实践,供管理员在系统安全性和易用性之间进行权衡。

防火墙应该实施默认的拒绝策略。除了出站icmp回应请求、出站ICMP源队列、入站TTL超出和入站ICMP目标不可达之外,所有ICMP消息类型都应被阻止。下面是对每种ICMP消息类型的过滤规则的详细分析。

请求和回复(类型8和0):允许回送请求消息发出,以便内部用户可以PING通远程主机。阻止入站回显请求和出站回显回复可以防止外部网络上的主机扫描内部网络。如果您使用位于外部网络上的监视器来监视内部网络,您应该只允许来自特定外部IP的回应请求进入您的网络。限制ICMP回应数据包的大小可以防止“Ping泛洪”攻击,并可以防止使用回应请求和回复来通过防火墙“走私”数据的特洛伊木马。

本文到此结束,希望对大家有所帮助。

标签:

上一篇
下一篇