ICMP 重定向攻擊和ICMP不可達報文攻擊

最近一直在研究各種畸形報文和一些特殊的報文，並且需要根據這些攻擊特點進行相應的資料報偵測與攔截。一切其他的攻擊以後有時間再來寫吧。當我研究到了icmp重定向和不可達報文攻擊的時候，覺得很有趣，icmp協議在我們網路中經常存在於ping 中，用於測試兩台主機之間的網路連通性，以前也聽說過這兩種形態的攻擊，但是沒有怎麼去理解這些攻擊流程，和攻擊的原理。

請諸位與我一起學習一下吧

icmp重定向攻擊

這裡首先假設有兩台電腦，正常情況下，兩台機器互相進行網路交流的時候需要經過路由，但是路由器有乙個策略，就是當發現網路中有一台機器使用的是非優化路由的時候，路由就會向那台機器傳送乙個icmp重定向的特殊報文，告訴機器改變路由，讓機器的路由改為最優的，這個優化和非優化可以理解兩點直接直線最短，怎麼快就怎麼弄，這本身是乙個對網路有益的機制。

但是這個更改路由的icmp重定向特殊報文是可以偽造的，並且不需要經過一些校驗，合法性檢查。也就是說攻擊者完全可以向他向受害主機傳送icmp重定向報文，迫使受害主機更改路由表。

危害icmp重定向攻擊的資料報可以迫使主機更改路由為攻擊者的主機，那麼主機的流量就需要經過攻擊者的主機。

攻擊者就可以截獲、提取、分析、修改、重放使用者user的資料報，對流量進行嗅探劫持、中間人**，造成多種安全威脅。

icmp不可達報文攻擊

先分析一下出現icmp不可達報文的情況

在三次握手階段有兩種情況tcp會收到icmp「目的不可達」報文：

1、client端通過connect系統呼叫傳送syn請求到server端後，server沒有程序在相應的位址或埠處理請求，這時client端會收到icmp不可達報文。

2、client端通過connect系統呼叫傳送syn請求後崩潰，server端收到syn後傳送syn|ack，client端收到syn|ack後會給server傳送icmp不可達報文。

不同的主機對icmp不可達報文的處理方式不同，有的主機在收到網路或主機不可達的icmp報文後，對於後續發往此目的位址的報文直接認為不可達，從而切斷了目的地與主機的連線。

危害攻擊者可以偽造不可達icmp報文，在其他主機傳送syn請求的時候，立即傳送偽造的icmp不可達報文，切斷受害者與目的地的連線，造成攻擊。

icmp重定向攻擊

準備：一台kali虛擬機器（攻擊者），一台ubuntu 虛擬機器（受害者）

工具：netwox工具

下面就是icmp重定向攻擊的拓撲圖，借用了一下其他大神的圖qaq。

攻擊者：

受害者：

攻擊者偽造路由傳送icmp重定向報文到受害者

netwox 86 -f "host 192.168.146.128" -g "192.168.146.129" -i "192.168.146.2" -f 過濾資料報這裡只抓ubuntu的資料報 -g 重定向包需要受害者更改的新路由，這裡指向kali -i ubuntu 原來的路由

ubuntu wireshark抓包分析

icmp不可達報文攻擊

準備的事項和前面一樣，這裡就不累述了。直接開始。

這裡使用netwox 82，對netwox不太熟悉的同學可以查一下netwox詳解，看看這個套件怎麼用，有哪些用，裡面有各種各樣的資料報構造工具，挺強大的。

kali攻擊

netwox 82 -f "host 192.168.146.128" -i "192.168.146.2"

可以使用防火牆對icmp重定向資料報進行過濾，當有這種資料報時，則丟棄這種資料報。

我是使用snort ips 對這種資料報進行阻斷，其實也是聯合防火牆進行阻斷，snort icmp 重定向攻擊規則如下：

icmp 不可達報文攻擊檢測規則如下：

icmp 重定向攻擊和icmp不可達報文攻擊都是利用協議設計的缺陷，從而攻擊者可以偽造這兩種資料報進行攻擊，對受害者進行欺騙。

後續會為大家帶來各種畸形報文攻擊(land攻擊,淚滴攻擊，藍色炸彈，smurf攻擊等)、泛洪攻擊(udp flood 泛洪，syn泛洪，tcp泛洪等)、應用層（cc攻擊，dns泛洪等）doss攻擊的研究，研究其這種攻擊形態，已經如何對這些攻擊進行檢測及阻斷。

種一棵樹最好的時間是十年前和現在，願不負韶華

ICMP 重定向攻擊和ICMP不可達報文攻擊

ICMP重定向原理

icmp重定向實驗ensp icmp重定向實驗

簡單的icmp攻擊

ICMP 重定向攻擊和ICMP不可達報文攻擊

ICMP重定向原理

icmp重定向實驗ensp icmp重定向實驗

簡單的icmp攻擊

相關推薦