国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

百科名片ICMP是（Internet Control Message Protocol）Internet控制報(bào)文協(xié)議。它是TCP/IP協(xié)議族的一個(gè)子協(xié)議，用于在IP主機(jī)、路由器之間傳遞控制消息?？刂葡⑹侵妇W(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對(duì)于用戶數(shù)據(jù)的傳遞起著重要的作用。編輯本段基本簡(jiǎn)介ICMP協(xié)議是一種面向連接的協(xié)議，用于傳輸出錯(cuò)報(bào)告控制信息。它是一個(gè)非常重要的協(xié)議，它對(duì)于網(wǎng)絡(luò)安全具有極其重要的意義。它是TCP/IP協(xié)議族的一個(gè)子協(xié)議,屬于網(wǎng)絡(luò)層協(xié)議,主要用于在主機(jī)與路由器之間傳遞控制信息,包括報(bào)告錯(cuò)誤、交換受限控制和狀態(tài)信息等。當(dāng)遇到IP數(shù)據(jù)無法訪問目標(biāo)、IP路由器無法按當(dāng)前的傳輸速率轉(zhuǎn)發(fā)數(shù)據(jù)包等情況時(shí)，會(huì)自動(dòng)發(fā)送ICMP消息。  

ICMP原理ICMP提供一致易懂的出錯(cuò)報(bào)告信息。發(fā)送的出錯(cuò)報(bào)文返回到發(fā)送原數(shù)據(jù)的設(shè)備，因?yàn)橹挥邪l(fā)送設(shè)備才是出錯(cuò)報(bào)文的邏輯接受者。發(fā)送設(shè)備隨后可根據(jù)ICMP報(bào)文確定發(fā)生錯(cuò)誤的類型，并確定如何才能更好地重發(fā)失敗的數(shù)據(jù)報(bào)。但是ICMP唯一的功能是報(bào)告問題而不是糾正錯(cuò)誤，糾正錯(cuò)誤的任務(wù)由發(fā)送方完成。我們?cè)诰W(wǎng)絡(luò)中經(jīng)常會(huì)使用到ICMP協(xié)議，比如我們經(jīng)常使用的用于檢查網(wǎng)絡(luò)通不通的Ping命令（Linux和Windows中均有），這個(gè)“Ping”的過程實(shí)際上就是ICMP協(xié)議工作的過程。還有其他的網(wǎng)絡(luò)命令如跟蹤路由的Tracert命令也是基于ICMP協(xié)議的。編輯本段ICMP 協(xié)定內(nèi)容ICMP的全稱是 Internet Control Message Protocol 。從技術(shù)角度來說，ICMP就是一個(gè)“錯(cuò)誤偵測(cè)與回報(bào)機(jī)制”，其目的就是讓我們能夠檢測(cè)網(wǎng)路的連線狀況﹐也能確保連線的準(zhǔn)確性﹐其功能主要有：· 偵測(cè)遠(yuǎn)端主機(jī)是否存在。· 建立及維護(hù)路由資料。· 重導(dǎo)資料傳送路徑。· 資料流量控制。  

ICMP常用類型  

ICMP常用類型ICMP在溝通之中，主要是透過不同的類別(Type)與代碼(Code) 讓機(jī)器來識(shí)別不同的連線狀況。常用的類別如下表所列﹕ICMP 是個(gè)非常有用的協(xié)定﹐尤其是當(dāng)我們要對(duì)網(wǎng)路連接狀況進(jìn)行判斷的時(shí)候。下面讓我們看看常用的 ICMP 實(shí)例，以更好了解 ICMP 的功能與作用。編輯本段ICMP的重要性ICMP協(xié)議對(duì)于網(wǎng)絡(luò)安全具有極其重要的意義。ICMP協(xié)議本身的特點(diǎn)決定了它非常容易被用于攻擊網(wǎng)絡(luò)上的路由器和主機(jī)。例如，在1999年8月海信集團(tuán)“懸賞”50萬元人民幣測(cè)試防火墻的過程中，其防火墻遭受到的ICMP攻擊達(dá)334050次之多，占整個(gè)攻擊總數(shù)的90%以上！可見，ICMP的重要性絕不可以忽視！比如，可以利用操作系統(tǒng)規(guī)定的ICMP數(shù)據(jù)包最大尺寸不超過64KB這一規(guī)定，向主機(jī)發(fā)起“Ping of Death”（死亡之Ping）攻擊。“Ping of Death” 攻擊的原理是：如果ICMP數(shù)據(jù)包的尺寸超過64KB上限時(shí)，主機(jī)就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP堆棧崩潰，致使主機(jī)死機(jī)。（現(xiàn)在的操作系統(tǒng)已經(jīng)取消了發(fā)送ICMP數(shù)據(jù)包的大小的限制，解決了這個(gè)漏洞）此外，向目標(biāo)主機(jī)長(zhǎng)時(shí)間、連續(xù)、大量地發(fā)送ICMP數(shù)據(jù)包，也會(huì)最終使系統(tǒng)癱瘓。大量的ICMP數(shù)據(jù)包會(huì)形成“ICMP風(fēng)暴”，使得目標(biāo)主機(jī)耗費(fèi)大量的CPU資源處理，疲于奔命。編輯本段ICMP校驗(yàn)和算法以下代碼在Visual Studio 2008 + Windows 7下調(diào)試通過。lpsz指定要計(jì)算的數(shù)據(jù)包首地址，_dwSize指定該數(shù)據(jù)包的長(zhǎng)度。int CalcCheckSum(char* lpsz,DWORD _dwSize){int dwSize;__asm // 嵌入?yún)R編{mov ecx,_dwSizeshr ecx,1xor ebx,ebxmov esi,lpszread: //所有word相加，保存至EBX寄存器lodswmovzx eax,axadd ebx,eaxloop readtest _dwSize,1 //校驗(yàn)數(shù)據(jù)是否是奇數(shù)位的jz calclodsbmovzx eax,aladd ebx,eaxcalc:mov eax,ebx //高低位相加and eax,0ffffhshr ebx,16add eax,ebxnot axmov dwSize,eax}return dwSize;}編輯本段應(yīng)對(duì)ICMP攻擊雖然ICMP協(xié)議給黑客以可乘之機(jī)，但是ICMP攻擊也并非無藥可醫(yī)。只要在日常網(wǎng)絡(luò)管理中未雨綢繆，提前做好準(zhǔn)備，就可以有效地避免ICMP攻擊造成的損失。對(duì)于“Ping of Death”攻擊，可以采取兩種方法進(jìn)行防范：第一種方法是在路由器上對(duì)ICMP數(shù)據(jù)包進(jìn)行帶寬限制，將ICMP占用的帶寬控制在一定的范圍內(nèi)，這樣即使有ICMP攻擊，它所占用的帶寬也是非常有限的，對(duì)整個(gè)網(wǎng)絡(luò)的影響非常少；第二種方法就是在主機(jī)上設(shè)置ICMP數(shù)據(jù)包的處理規(guī)則，最好是設(shè)定拒絕所有的ICMP數(shù)據(jù)包。設(shè)置ICMP數(shù)據(jù)包處理規(guī)則的方法也有兩種，一種是在操作系統(tǒng)上設(shè)置包過濾，另一種是在主機(jī)上安裝防火墻。具體設(shè)置如下：1．在Windows 2000 Server中設(shè)置ICMP過濾Windows 2000 Server提供了“路由與遠(yuǎn)程訪問”服務(wù)，但是默認(rèn)情況下是沒有啟動(dòng)的，因此首先要啟動(dòng)它：點(diǎn)擊“管理工具”中的“路由與遠(yuǎn)程訪問”，啟動(dòng)設(shè)置向?qū)АＴ谄渲羞x擇“手動(dòng)配置服務(wù)器”項(xiàng)，點(diǎn)擊[下一步]按鈕。稍等片刻后，系統(tǒng)會(huì)提示“路由和遠(yuǎn)程訪問服務(wù)現(xiàn)在已被安裝。要開始服務(wù)嗎？”，點(diǎn)擊[是]按鈕啟動(dòng)服務(wù)。  

圖1服務(wù)啟動(dòng)后，在計(jì)算機(jī)名稱的分支下會(huì)出現(xiàn)一個(gè)“IP路由選擇”，點(diǎn)擊它展開分支，再點(diǎn)擊“常規(guī)”，會(huì)在右邊出現(xiàn)服務(wù)器中的網(wǎng)絡(luò)連接（即網(wǎng)卡）。用鼠標(biāo)右鍵點(diǎn)擊你要配置的網(wǎng)絡(luò)連接，在彈出的菜單中點(diǎn)擊“屬性”，會(huì)彈出一個(gè)網(wǎng)絡(luò)連接屬性的窗口，如圖1所示。圖1中有兩個(gè)按鈕，一個(gè)是“輸入篩選器”（指對(duì)此服務(wù)器接受的數(shù)據(jù)包進(jìn)行篩選），另一個(gè)是“輸出篩選器”（指對(duì)此服務(wù)器發(fā)送的數(shù)據(jù)包進(jìn)行篩選），這里應(yīng)該點(diǎn)擊[輸入篩選器] 按鈕，會(huì)彈出一個(gè)“添加篩選器”窗口，再點(diǎn)擊[添加]按鈕，表示要增加一個(gè)篩選條件。在“協(xié)議”右邊的下拉列表中選擇“ICMP”，在隨后出現(xiàn)的“ICMP類型”和“ICMP編碼”中均輸入“255”，代表所有  

圖2的ICMP類型及其編碼。ICMP有許多不同的類型（Ping就是一種類型），每種類型也有許多不同的狀態(tài)，用不同的“編碼”來表示。因?yàn)槠漕愋秃途幋a很復(fù)雜，這里不再敘述。點(diǎn)擊[確定]按鈕返回“輸入篩選器”窗口，此時(shí)會(huì)發(fā)現(xiàn)“篩選器”列表中多了一項(xiàng)內(nèi)容（如圖2所示）。點(diǎn)擊[確定]按鈕返回“本地連接”窗口，再點(diǎn)擊[確定]按鈕，此時(shí)篩選器就生效了，從其他計(jì)算機(jī)上Ping這臺(tái)主機(jī)就不會(huì)成功了  

圖3。2． 用防火墻設(shè)置ICMP過濾現(xiàn)在許多防火墻在默認(rèn)情況下都啟用了ICMP過濾的功能。如果沒有啟用，只要選中“防御ICMP攻擊”、“防止別人用ping命令探測(cè)”就可以了，如圖3所示。編輯本段防御基于ICMP的網(wǎng)絡(luò)攻擊的方法選擇合適的防火墻有效防止ICMP攻擊，防火墻應(yīng)該具有狀態(tài)檢測(cè)、細(xì)致的數(shù)據(jù)包完整性檢查和很好的過濾規(guī)則控制功能。狀態(tài)檢測(cè)防火墻通過跟蹤它的連接狀態(tài)，動(dòng)態(tài)允許外出數(shù)據(jù)包的響應(yīng)信息進(jìn)入防火墻所保護(hù)的網(wǎng)絡(luò)。例如，狀態(tài)檢測(cè)防火墻可以記錄一個(gè)出去的 PING（ICMP Echo Request），在接下來的一個(gè)確定的時(shí)間段內(nèi)，允許目標(biāo)主機(jī)響應(yīng)的ICMP Echo Reply直接發(fā)送給前面發(fā)出了PING命令的IP，除此之外的其他ICMP Echo Reply消息都會(huì)被防火墻阻止。與此形成對(duì)比的是，包過濾類型的防火墻允許所有的ICMP Echo Reply消息進(jìn)入防火墻所保護(hù)的網(wǎng)絡(luò)了。許多路由器和基于Linux內(nèi)核2.2或以前版本的防火墻系統(tǒng)，都屬于包過濾型，用戶應(yīng)該避免選擇這些系統(tǒng)。新的攻擊不斷出現(xiàn)，防火墻僅僅能夠防止已知攻擊是遠(yuǎn)遠(yuǎn)不夠的。通過對(duì)所有數(shù)據(jù)包進(jìn)行細(xì)致分析，刪除非法的數(shù)據(jù)包，防火墻可以防止已知和未知的 DoS攻擊。這就要求防火墻能夠進(jìn)行數(shù)據(jù)包一致性檢查。安全策略需要針對(duì)ICMP進(jìn)行細(xì)致的控制。因此防火墻應(yīng)該允許對(duì)ICMP類型、代碼和包大小進(jìn)行過濾，并且能夠控制連接時(shí)間和ICMP包的生成速率。配置防火墻以預(yù)防攻擊一旦選擇了合適的防火墻，用戶應(yīng)該配置一個(gè)合理的安全策略。以下是被普遍認(rèn)可的防火墻安全配置慣例，可供管理員在系統(tǒng)安全性和易用性之間作出權(quán)衡。防火墻應(yīng)該強(qiáng)制執(zhí)行一個(gè)缺省的拒絕策略。除了出站的ICMP Echo Request、出站的ICMP Source Quench、進(jìn)站的TTL Exceeded和進(jìn)站的ICMP Destination Unreachable之外，所有的ICMP消息類型都應(yīng)該被阻止。編輯本段詳細(xì)分析下面是針對(duì)每個(gè)ICMP消息類型的過濾規(guī)則的詳細(xì)分析。Echo Request和Reply（類型8和0）：允許Echo Request消息出站以便于內(nèi)部用戶能夠PING一個(gè)遠(yuǎn)程主機(jī)。阻止入站Echo Request和出站Echo Reply可以防止外部網(wǎng)絡(luò)的主機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行掃描。如果您使用了位于外部網(wǎng)絡(luò)的監(jiān)視器來監(jiān)視內(nèi)部網(wǎng)絡(luò)，就應(yīng)該只允許來自于特定外部IP的Echo Request進(jìn)入您的網(wǎng)絡(luò)。限制ICMP Echo包的大小可以防止“Ping Floods”攻擊，并且可以阻止那些利用Echo Request和Reply來“偷運(yùn)”數(shù)據(jù)通過防火墻的木馬程序。Destination unreachable （類型3）：允許其入站以便于內(nèi)部網(wǎng)用戶可以使用traceroute。需要注意的是，有些攻擊者可以使用它來進(jìn)行針對(duì)會(huì)話的DoS攻擊，如果您曾經(jīng)歷過類似的攻擊，也可以阻止它。阻止出站的ICMP Destination unreachable消息，因?yàn)樗赡軙?huì)泄漏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)。不過有一個(gè)例外，對(duì)于那些允許外部網(wǎng)絡(luò)通過TCP訪問的內(nèi)部主機(jī)（如位于DMZ區(qū)的Web 服務(wù)器）發(fā)出的Destination unreachable，則應(yīng)該允許它通過。為了能夠支持“Path MTU Discovery”，您應(yīng)該允許出站的“Packet Too Big”消息（類型3，代碼4）到達(dá)那些主機(jī)。Source quench（類型4）：阻止其入站，因?yàn)樗梢宰鳛橐环NDoS攻擊，能夠降低發(fā)送者的發(fā)送速度。允許其出站以便于內(nèi)部主機(jī)能夠控制發(fā)送端發(fā)送數(shù)據(jù)的速度。有些防火墻會(huì)忽略所有直接發(fā)送到防火墻端口的Source Quench消息，以防止針對(duì)于防火墻的DoS攻擊。Redirect（類型5，9，10）：Redirect、Router announcement、 Router selection（類型5，9，10）：這些消息都存在潛在危險(xiǎn)，因?yàn)樗鼈兛梢杂脕戆褦?shù)據(jù)重定向到攻擊者的機(jī)器。這些消息都應(yīng)該被阻止。TTL exceeded（類型11）：允許其進(jìn)站以便于內(nèi)部用戶可以使用traceroute。“firewalking”使用很低的TTL值來對(duì)網(wǎng)絡(luò)進(jìn)行掃描，甚至可以通過防火墻對(duì)內(nèi)網(wǎng)進(jìn)行掃描，所以應(yīng)該禁止其出站。一些防火墻可以阻止TTL值小于設(shè)定值的數(shù)據(jù)包進(jìn)入防火墻。Parameter problem（類型12）：禁止其入站和出站。通過使用一個(gè)能夠進(jìn)行數(shù)據(jù)包一致性檢查的防火墻，錯(cuò)誤和惡意的數(shù)據(jù)包都會(huì)被阻塞。