ICMP DoS攻擊原理與防禦方法 A0933357 邱爾盛
ICMP DoS攻擊 ICMP(Internet Control Message Protocol)是TCP/IP通訊協定中定義封包的一種,主要功能是用來在網路上傳遞一些簡單的控制訊號。 ICMP DoS攻擊主要有以下兩種手法: Ping of Death Smurf攻擊
Ping of Death 利用Ping這支程式產生超過IP協定最大封包限制的封包(max = 65535bytes)。 接收者的作業系統沒有作檢查的功能,使得系統當機,有這個bug的OS有Unix、Mac、Netware。 也可能這些超大封包會fragmentation,但最後受害者還是會重組回來,造成Buffer Overflow而當機。 基本上,長度65536位元組的封包便是一個不合法的封包,但是可以把過長的封包切成可以接受的長度的片段(fragments)再逐一傳送至遠端電腦再將這些片段組合還原成一完整的封包,但此舉有時會造成對方電腦的Buffer滿載(Overflow)而當機或重開機。
Smurf 以程式利用IP Protocol來傳送大量的Ping Message到給Internet上許多機器,造成產生大量的Reply Message造成網路的癱瘓。 也可以將欲攻擊主機的IP設為該封包Source IP Address,並且送到Broadcast位址,造成大數量的Reply Message回傳給受害者。
對ICMP Dos攻擊的防禦 最近的新版作業系統都已經對Ping of Death做了漏洞修補,或可將其傷害控制在一定的範圍中,因此相對的危害不並算大。本節重點為討論另一種較為嚴重而難以防範的Smurf攻擊。 主要的解決方法都是基於Huegen所提出的幾個對策[13],我們將在下面討論其作法。
關閉broadcast功能 將區域網路內的router的廣播功能關閉。由於Smurf攻擊中的重點就是「將小量的ICMP封包透過router的廣播功能,傳送給在網段上的每一台電腦」,因此router在這場攻擊中扮演著舉足輕重的放大器(amplifier)角色。
實行封包過濾 由於典型的Smurf攻擊手法是「從外部網路傳送假造來源IP的ICMP封包」,因此另一種防禦方法是,在內部網路對外聯繫的窗口,如router(或防火牆,如果有建立的話),實行封包過濾功能,阻擋外界不正常的ICMP封包(如來源IP為內部網路)進入。
關閉ICMP Echo Reply功能 Huegen所提的最終解決方案是對Smurf攻擊的回應封包來源做處理,亦即關閉在此網路上的每台主機對於ICMP Echo Request的回應。雖然這是很基本的防禦措施,但這樣做有兩個缺點,一是會將正常的Echo Request Reply功能給擋掉,使得”Ping”指令無法使用,有可能會對網路系統的測試與管理,產生一些限制。
來源 http://www.iii.org.tw/adc/papers/thesis/00B02.htm
THE END