美國(guó)服務(wù)器ICMP控制消息協(xié)議，英文全稱：Internet Control Message Protocol， Internet，是美國(guó)服務(wù)器傳輸層的重要協(xié)議。它是 TCP/IP協(xié)議簇的一個(gè)子協(xié)議，用于IP主機(jī)、美國(guó)服務(wù)器路由器之間傳遞控制消息。下面美聯(lián)科技小編就來(lái)介紹下美國(guó)服務(wù)器ICMP協(xié)議的漏洞及防御方式。

        美國(guó)服務(wù)器控制消息是指網(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息，所以許多系統(tǒng)和防火墻并不會(huì)攔截ICMP報(bào)文，這給攻擊者帶來(lái)可乘之機(jī)。網(wǎng)上有很多針對(duì)ICMP的攻擊工具可以很容易達(dá)到攻擊目的，其攻擊實(shí)現(xiàn)目標(biāo)主要為轉(zhuǎn)向連接攻擊和拒絕服務(wù)。

        一、攻擊實(shí)現(xiàn)

        1.ICMP轉(zhuǎn)向連接攻擊

        攻擊者主要是使用ICMP【時(shí)間超出】或【目標(biāo)地址無(wú)法連接】的消息。這兩種ICMP消息都會(huì)導(dǎo)致一臺(tái)美國(guó)服務(wù)器迅速放棄連接。攻擊只需偽造這些ICMP消息中的一條，并發(fā)送給通信中的兩臺(tái)美國(guó)服務(wù)器或其中的一臺(tái)，就可以利用這種攻擊，接著通信連接就會(huì)被切斷。

        當(dāng)其中一臺(tái)美國(guó)服務(wù)器錯(cuò)誤地認(rèn)為信息的目標(biāo)地址不在本地網(wǎng)絡(luò)中的時(shí)候，網(wǎng)關(guān)通常會(huì)使用ICMP轉(zhuǎn)向消息。如果攻擊者偽造出一條轉(zhuǎn)向消息，它就可以導(dǎo)致另外一臺(tái)美國(guó)服務(wù)器經(jīng)過(guò)攻擊者主機(jī)向特定連接發(fā)送數(shù)據(jù)包。

        2.ICMP數(shù)據(jù)包放大

        攻擊者向安全薄弱網(wǎng)絡(luò)所廣插的地址發(fā)送偽造的ICMP響應(yīng)數(shù)據(jù)包，然后都向受害美國(guó)服務(wù)器系統(tǒng)發(fā)送ICMP響應(yīng)的答復(fù)信息，占用了目標(biāo)系統(tǒng)的可用帶寬并導(dǎo)致合法通信的服務(wù)拒絕。

        3.死Ping攻擊

        由于早期路由器對(duì)包的最大尺寸都有限制，許多操作系統(tǒng)對(duì) TCP/IP的實(shí)現(xiàn)在ICMP包上都是規(guī)定64KB，并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來(lái)為有效載荷生成緩沖區(qū)，當(dāng)產(chǎn)生尺寸超過(guò)ICMP上限的包，也就是加載的尺寸超過(guò)64KB上限時(shí)，就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致 TCP/IP崩潰，致使接收方宕機(jī)。

        4.ICMP Ping淹沒(méi)攻擊

        大量的Ping信息廣播淹沒(méi)了目標(biāo)美國(guó)服務(wù)器的系統(tǒng)，使得它不能夠?qū)戏ǖ耐ㄐ抛鞒鲰憫?yīng)。

        5.ICMP nuke攻擊

        nuke發(fā)送出目標(biāo)美國(guó)服務(wù)器的操作系統(tǒng)無(wú)法處理的信息數(shù)據(jù)包，從而導(dǎo)致該系統(tǒng)宕機(jī)。

        6.通過(guò)ICMP進(jìn)行攻擊信息收集

        通過(guò)Ping命令來(lái)檢查目標(biāo)美國(guó)服務(wù)器是否存活，依照返回的TTL值判斷目標(biāo)美國(guó)服務(wù)器操作系統(tǒng)。

        二、ICMP攻擊的防御方式

        1.對(duì)ICMP數(shù)據(jù)包進(jìn)行過(guò)濾

        雖然很多美國(guó)服務(wù)器防火墻可以對(duì)ICMP數(shù)據(jù)包進(jìn)行過(guò)濾，但對(duì)于沒(méi)有安裝防火墻的美國(guó)服務(wù)器，可以使用系統(tǒng)自帶的防火墻和安全策略對(duì)ICMP進(jìn)行過(guò)濾。

        2.修改TTL值

        許多入侵者會(huì)通過(guò)Ping目標(biāo)美國(guó)服務(wù)器，用目標(biāo)返回TTL值來(lái)判斷對(duì)方操作系統(tǒng)。既然入侵者相信T TL值所反映出來(lái)的結(jié)果，那么只要修改TTL值，入侵者就無(wú)法得知目標(biāo)美國(guó)服務(wù)器操作系統(tǒng)了。

        以上就是美國(guó)服務(wù)器ICMP協(xié)議的漏洞及防御方式，希望能幫助各位美國(guó)服務(wù)器用戶更好的保障網(wǎng)路安全。

        關(guān)注美聯(lián)科技，了解更多IDC資訊！