ICMP 重定向攻擊和ICMP不可達報文攻擊

2021-10-23 01:15:57 字數 2164 閱讀 9498

最近一直在研究各種畸形報文和一些特殊的報文,並且需要根據這些攻擊特點進行相應的資料報偵測與攔截。一切其他的攻擊以後有時間再來寫吧。當我研究到了icmp重定向和不可達報文攻擊的時候,覺得很有趣,icmp協議在我們網路中經常存在於ping 中,用於測試兩台主機之間的網路連通性,以前也聽說過這兩種形態的攻擊,但是沒有怎麼去理解這些攻擊流程,和攻擊的原理。

請諸位與我一起學習一下吧

icmp重定向攻擊

這裡首先假設有兩台電腦,正常情況下,兩台機器互相進行網路交流的時候需要經過路由,但是路由器有乙個策略,就是當發現網路中有一台機器使用的是非優化路由的時候,路由就會向那台機器傳送乙個icmp重定向的特殊報文,告訴機器改變路由,讓機器的路由改為最優的,這個優化和非優化可以理解兩點直接直線最短,怎麼快就怎麼弄,這本身是乙個對網路有益的機制。

但是這個更改路由的icmp重定向特殊報文是可以偽造的,並且不需要經過一些校驗,合法性檢查。也就是說攻擊者完全可以向他向受害主機傳送icmp重定向報文,迫使受害主機更改路由表。

危害icmp重定向攻擊的資料報可以迫使主機更改路由為攻擊者的主機,那麼主機的流量就需要經過攻擊者的主機。

攻擊者就可以截獲、提取、分析、修改、重放使用者user的資料報,對流量進行嗅探劫持、中間人**,造成多種安全威脅。

icmp不可達報文攻擊

先分析一下出現icmp不可達報文的情況

在三次握手階段有兩種情況tcp會收到icmp「目的不可達」報文:

1、client端通過connect系統呼叫傳送syn請求到server端後,server沒有程序在相應的位址或埠處理請求,這時client端會收到icmp不可達報文。

2、client端通過connect系統呼叫傳送syn請求後崩潰,server端收到syn後傳送syn|ack,client端收到syn|ack後會給server傳送icmp不可達報文。

不同的主機對icmp不可達報文的處理方式不同,有的主機在收到網路或主機不可達的icmp報文後,對於後續發往此目的位址的報文直接認為不可達,從而切斷了目的地與主機的連線。

危害攻擊者可以偽造不可達icmp報文,在其他主機傳送syn請求的時候,立即傳送偽造 的icmp不可達報文,切斷受害者與目的地的連線,造成攻擊。

icmp重定向攻擊

準備: 一台kali虛擬機器(攻擊者),一台ubuntu 虛擬機器(受害者)

工具:netwox工具

下面就是icmp重定向攻擊的拓撲圖,借用了一下其他大神的圖qaq。

攻擊者:

受害者:

攻擊者偽造路由傳送icmp重定向報文到受害者

netwox 86 -f "host 192.168.146.128" -g "192.168.146.129" -i "192.168.146.2"

-f 過濾資料報這裡只抓ubuntu的資料報

-g 重定向包需要受害者更改的新路由,這裡指向kali

-i ubuntu 原來的路由

ubuntu wireshark抓包分析

icmp不可達報文攻擊

準備的事項和前面一樣,這裡就不累述了。直接開始。

這裡使用netwox 82,對netwox不太熟悉的同學可以查一下netwox詳解,看看這個套件怎麼用,有哪些用,裡面有各種各樣的資料報構造工具,挺強大的。

kali攻擊

netwox 82 -f "host 192.168.146.128" -i "192.168.146.2"
可以使用防火牆對icmp重定向資料報進行過濾,當有這種資料報時,則丟棄這種資料報。

我是使用snort ips 對這種資料報進行阻斷,其實也是聯合防火牆進行阻斷,snort icmp 重定向攻擊規則如下:

icmp 不可達報文攻擊檢測規則如下:

icmp 重定向攻擊和icmp不可達報文攻擊 都是利用協議設計的缺陷,從而攻擊者可以偽造這兩種資料報進行攻擊,對受害者進行欺騙。

後續會為大家帶來各種畸形報文攻擊(land攻擊,淚滴攻擊,藍色炸彈,smurf攻擊等)、泛洪攻擊(udp flood 泛洪,syn泛洪,tcp泛洪等)、應用層(cc攻擊,dns泛洪等)doss攻擊的研究,研究其這種攻擊形態,已經如何對這些攻擊進行檢測及阻斷。

種一棵樹最好的時間是十年前和現在,願不負韶華

ICMP重定向原理

icmp重定向原理 icmp重定向報文是icmp控制報文中的一種。在特定的情況下,當路由器檢測到一台機器使用非優化路由的時候,它會向該主機傳送乙個icmp重定向報文,請求主機改變路由。路由器也會把初始資料報向它的目的地 icmp應用分析 icmp重定向 icmp雖然不是路由協議,但是有時它也可以指導...

icmp重定向實驗ensp icmp重定向實驗

一 實驗拓撲圖 二 實驗要求 三 實驗步驟配置 1 配置r0 r1 r2 r3的ip位址 r0 int f0 0 ip add 10.1.1.1 255.0.0.0 no sh r1 int f0 0 ip add 10.2.2.2 255.0.0.0 no sh r2 int f0 0 ip ad...

簡單的icmp攻擊

由於本人很菜,這個 是改別人的.呵呵.可以在公司的區域網裡搞搞壞,呵呵.我是在ubuntu8.04下的,需要gcc編譯.修改了一些,加添了廣播,可發給255,我感覺會把區域網弄亂的 呵呵.include include include include include include include ...