??????? 美國服務(wù)器的ICMP控制消息協(xié)議是傳輸層的重要協(xié)議,英文全稱為:Internet Control Message Protocol,它是美國服務(wù)器 TCP/IP協(xié)議簇的一個子協(xié)議,用于IP主機和路由器之間傳遞控制消息,本文小編就來分享一下美國服務(wù)器ICMP協(xié)議的漏洞及防御方式。
??????? 控制消息是指美國服務(wù)器網(wǎng)絡(luò)通不通、主機是否可達、路由是否可用等網(wǎng)絡(luò)本身的消息,所以許多系統(tǒng)和防火墻并不會攔截ICMP報文,這就給了黑客帶來可乘之機。網(wǎng)上有很多針對美國服務(wù)器ICMP的攻擊工具可以很容易達到攻擊目的,其攻擊實現(xiàn)目標(biāo)主要為轉(zhuǎn)向連接攻擊和拒絕服務(wù)。
??????? 一、攻擊實現(xiàn)
??????? 1、ICMP轉(zhuǎn)向連接攻擊
??????? 黑客主要是使用ICMP【時間超出】或【目標(biāo)地址無法連接】的消息。這兩種ICMP消息都會導(dǎo)致一臺美國服務(wù)器迅速放棄連接。攻擊只需偽造這些ICMP消息中的一條,并發(fā)送給通信中的兩臺美國服務(wù)器或其中的一臺,就可以利用這種攻擊,接著通信連接就會被切斷。
??????? 當(dāng)其中一臺美國服務(wù)器錯誤地認為信息的目標(biāo)地址不在本地網(wǎng)絡(luò)中的時候,網(wǎng)關(guān)通常會使用ICMP轉(zhuǎn)向消息。如果黑客偽造出一條轉(zhuǎn)向消息,它就可以導(dǎo)致另外一臺美國服務(wù)器經(jīng)過黑客主機向特定連接發(fā)送數(shù)據(jù)包。
??????? 2、ICMP數(shù)據(jù)包放大
??????? 黑客向安全薄弱網(wǎng)絡(luò)所廣插的地址發(fā)送偽造的ICMP響應(yīng)數(shù)據(jù)包,然后都向受害美國服務(wù)器系統(tǒng)發(fā)送ICMP響應(yīng)的答復(fù)信息,占用了目標(biāo)系統(tǒng)的可用帶寬并導(dǎo)致合法通信的服務(wù)拒絕。
??????? 3、死Ping攻擊
??????? 由于早期美國服務(wù)器路由器對包的最大尺寸都有限制,許多操作系統(tǒng)對 TCP/IP的實現(xiàn)在ICMP包上都是規(guī)定64KB,并且在對包的標(biāo)題頭進行讀取之后,要根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū),當(dāng)產(chǎn)生尺寸超過ICMP上限的包,也就是加載的尺寸超過64KB上限時,就會出現(xiàn)內(nèi)存分配錯誤,導(dǎo)致 TCP/IP崩潰,致使接收方宕機。
??????? 4、ICMP Ping淹沒攻擊
??????? 大量的Ping信息廣播淹沒了目標(biāo)美國服務(wù)器的系統(tǒng),使得它不能夠?qū)戏ǖ耐ㄐ抛鞒鲰憫?yīng)。
??????? 5、ICMP nuke攻擊
??????? nuke發(fā)送出目標(biāo)美國服務(wù)器的操作系統(tǒng)無法處理的信息數(shù)據(jù)包,從而導(dǎo)致該系統(tǒng)宕機。
??????? 6、通過ICMP進行攻擊信息收集
??????? 通過Ping命令來檢查目標(biāo)美國服務(wù)器是否存活,依照返回的TTL值判斷目標(biāo)美國服務(wù)器操作系統(tǒng)。
??????? 二、ICMP攻擊的防御方式
??????? 1、對ICMP數(shù)據(jù)包進行過濾
??????? 雖然很多美國服務(wù)器防火墻可以對ICMP數(shù)據(jù)包進行過濾,但對于沒有安裝防火墻的美國服務(wù)器,可以使用系統(tǒng)自帶的防火墻和安全策略對ICMP進行過濾。
??????? 2、修改TTL值
??????? 許多入侵者會通過Ping目標(biāo)美國服務(wù)器,用目標(biāo)返回TTL值來判斷對方操作系統(tǒng)。既然入侵者相信T TL值所反映出來的結(jié)果,那么只要修改TTL值,入侵者就無法得知目標(biāo)美國服務(wù)器操作系統(tǒng)了。
??????? 以上內(nèi)容就是美國服務(wù)器ICMP協(xié)議的漏洞及防御方式,希望能幫助各位美國服務(wù)器用戶們更好的保障網(wǎng)路安全。
??????? 現(xiàn)在夢飛科技合作的美國VM機房的美國服務(wù)器所有配置都免費贈送防御值 ,可以有效防護網(wǎng)站的安全,以下是部分配置介紹:
| CPU | 內(nèi)存 | 硬盤 | 帶寬 | IP | 價格 | 防御 |
| E3-1230v3 | 16GB | 500GB?SSD | 1G無限流量 | 1個IP | 900/月 | 免費贈送1800Gbps?DDoS防御 |
| E3-1270v2 | 32GB | 500GB?SSD | 1G無限流量 | 1個IP | 1250/月 | 免費贈送1800Gbps?DDoS防御 |
| E3-1275v5 | 32GB | 500GB?SSD | 1G無限流量 | 1個IP | 1350/月 | 免費贈送1800Gbps?DDoS防御 |
| Dual?E5-2630L | 32GB | 500GB?SSD | 1G無限流量 | 1個IP | 1450/月 | 免費贈送1800Gbps?DDoS防御 |
??????? 夢飛科技已與全球多個國家的頂級數(shù)據(jù)中心達成戰(zhàn)略合作關(guān)系,為互聯(lián)網(wǎng)外貿(mào)行業(yè)、金融行業(yè)、IOT行業(yè)、游戲行業(yè)、直播行業(yè)、電商行業(yè)等企業(yè)客戶等提供一站式安全解決方案。持續(xù)關(guān)注夢飛科技官網(wǎng),獲取更多IDC資訊!
?
文章鏈接: http://www.qzkangyuan.com/28810.html
文章標(biāo)題:美國服務(wù)器ICMP協(xié)議的漏洞及防御方式
文章版權(quán):夢飛科技所發(fā)布的內(nèi)容,部分為原創(chuàng)文章,轉(zhuǎn)載請注明來源,網(wǎng)絡(luò)轉(zhuǎn)載文章如有侵權(quán)請聯(lián)系我們!
