网络安全实验5-ICMP欺骗(重定向)攻击

ICMP重定向攻击与防范方法研究ICMP是TCP/IP协议族的一个子集，用于在IP主机、路由器之间传递控制消息，其中重定向是该协议的重要功能，而该功能常被黑客利用，并用于攻击主机;本文从ICMP重定报文结构及重定向工作方式展开，简述了重定向攻击及欺骗攻击的原理，最后阐明了防范重定向及欺骗攻击三种方法。

标签：ICMP;重定向攻击;欺骗攻击0 引言ICMP是（Internet Control Message Protocol）Internet控制报文协议。

它是TCP/IP协议族的一个子集，用于在IP主机、路由器之间传递控制消息，主要控制路由是否可用、主机是否可达和网络通不通等网络本身的重要消息。

网络或者黑客攻击者常应用ICMP重定向功能对主机进行攻击。

1 ICMP重定向报文解析ICMP重定向报文是ICMP控制报文中的一种，在一般情况下，当路由器检测到某台主机使用没有经过优化路由的时候，它会向该主机发送一个ICMP重定向报文，请求主机改变路由。

路由器也会把初始数据向其他的目的主机转发，ICMP重定向报文格式如下图所示：<E：＼123456＼中小企业管理与科技·上旬刊201510＼1-297＼70-1.jpg>图1 ICMP重定向报文结构ICMP有四种不同类型的重定向报文，如下表1所示。

表1 ICMP重定向报文类型[代码＼&ICMP报文描述＼&0123＼&网络重定向主机重定向服务类型和网络重定向服务类型和主机重定向＼&]ICMP重定向报文的目的主机需要查看三种IP地址类型：①发送重定向报文的路由IP地址（重定向信息的IP数据报中的源地址）;②实施重定向的IP地址（ICMP重定向报文位于IP数据报首部）;③采用的路由IP地址（在ICMP报文中的4～7字节）。

2 ICMP重定向工作方式如图2所示，假设有主机A和主机B、路由器A和路由器B，主机A的网关地址指向路由器A的F0/0接口，路由器A，B的F0/0端口在同一网段内，路由器A，B通过F0/1端口接入Internet，Internet有一台主机B，其IP地址为10.1.1.1，正常情况下，路由器A，B到10.1.1.0/8这个网段都有两条路由，分别是F0/1端口直接出去和F0/0端口通过另一台路由出去，但经过F0/1端口的这条路由会进入到路由表中，主机B被主机A访问的时候，数据包就会被发到路由器A的F0/0端口，再经过F0/1端口转发出去。

一、实验背景随着互联网技术的飞速发展，网络安全问题日益突出。

为了提高网络安全意识，掌握网络安全防护技能，我们进行了一次网络攻击实验。

本次实验旨在了解网络攻击的基本原理，熟悉常见的网络攻击手段，以及掌握相应的防御措施。

二、实验目的1. 理解网络攻击的基本原理和常见手段。

2. 掌握网络攻击实验的基本流程。

3. 熟悉网络安全防护技术，提高网络安全意识。

三、实验环境1. 操作系统：Windows 102. 网络设备：路由器、交换机、计算机3. 实验软件：Wireshark、Nmap、Metasploit等四、实验内容1. 漏洞扫描（1）使用Nmap扫描目标主机，发现潜在的安全漏洞。

（2）分析扫描结果，了解目标主机的开放端口和服务信息。

2. 拒绝服务攻击（DoS）（1）使用Metasploit生成大量的伪造请求，对目标主机进行DoS攻击。

（2）观察目标主机响应时间，分析攻击效果。

3. 口令破解（1）使用Hydra工具尝试破解目标主机的登录口令。

（2）观察破解过程，了解口令破解的原理。

4. 恶意代码传播（1）利用网络共享传播恶意代码，感染目标主机。

（2）分析恶意代码的传播过程，了解恶意代码的特点。

5. 数据窃取（1）使用网络监听工具，窃取目标主机传输的数据。

（2）分析窃取到的数据，了解数据窃取的原理。

五、实验结果与分析1. 漏洞扫描通过Nmap扫描，我们成功发现目标主机的开放端口和服务信息，发现了一些潜在的安全漏洞。

这为我们进行后续的攻击实验提供了依据。

2. 拒绝服务攻击（DoS）我们使用Metasploit生成了大量的伪造请求，对目标主机进行了DoS攻击。

观察目标主机的响应时间，发现攻击效果明显，目标主机无法正常响应服务。

3. 口令破解我们尝试破解目标主机的登录口令，使用Hydra工具进行暴力破解。

经过一段时间，成功破解了目标主机的口令。

4. 恶意代码传播我们利用网络共享传播恶意代码，成功感染了目标主机。

icmp重定向原理
ICMP重定向是一种网络协议，用于在IP网络中通知主机更优的路径。

当一个主机（称为源主机）发送IP数据包到另一个主机（称为目标主机），但通过路由器发现有更短路径可用时，路由器可以发送ICMP重定向消息给源主机，告知它使用新的路径。

下面是ICMP重定向的工作原理：
1.源主机发送一个IP数据包到目标主机，但数据包经过一个路由器。

2.路由器检查自己的路由表，并发现有更短路径可用。

3.路由器生成一个ICMP重定向消息，包含以下信息：
源主机的IP地址
目标主机的IP地址
新的下一跳路由器的IP地址
4.路由器将ICMP重定向消息发送给源主机。

5.源主机接收到ICMP重定向消息后，更新自己的路由表，将新的下一跳路由器作为数据包的下一跳目标。

6.源主机以后的数据包将会通过新的路径发送。

需要注意的是，ICMP重定向消息只能由路由器发送给源主机，并且只对直接连接的子网有效。

此外，源主机可以选择是否接受ICMP重定向消息，这取决于其配置和安全策略。

ICMP重定向的目的是优化网络路径，减少数据包的传输延迟和网络拥塞。

通过动态地调整路由，可以提高网络性能和效率。

1。

ICMP常见攻击ICMP Flood攻击通常情况下，网络管理员会用PING程序对网络进行监控和故障排除，大概过程如下：1.源计算机向接收计算机发出ICMP响应请求报文（ICMP ECHO）。

2.接收计算机接收到ICMP响应请求报文后，会向源计算机回应一个ICMP 应答报文（ECHOReply）。

这个过程是需要CPU处理的，在有些情况下还可能消耗掉大量的资源。

如果攻击者向目标计算机发送大量的ICMP ECHO报文（产生ICMP洪水），则目标计算机会忙于处理这些ECHO报文，而无法继续处理其它的数据报文。

如图5所示。

图5 ICMP Flood攻击示意图解决办法：设备针对ICMP泛洪攻击进行CAR（Committed Access Rate）限速，保证CPU不被攻击，保证网络的正常运行。

Ping of Death攻击所谓Ping of Death，就是利用一些尺寸超大的ICMP报文对系统进行的一种攻击。

IP报文的长度字段为16位，这表明一个IP报文的最大长度为65535。

对于ICMP回应请求报文，如果数据长度大于65507，就会使ICMP数据＋IP头长度（20）＋ICMP头长度（8）> 65535。

对于有些防火墙或系统，在接收到一个这样的报文后，由于处理不当，会造成系统崩溃、死机或重启。

大部分处理程序假定报文不会超过最大尺寸，超大报文重组所占内存块大于IP包最大尺寸，重组过程引发缓冲区溢出，系统进入非稳定状态，导致TCP/IP堆栈崩溃。

如图6所示。

图6 ICMP超大报文示意图解决办法：启用分片报文攻击防范后，设备在收到这种攻击报文后，直接丢弃该报文。

分片报文攻击是通过向目标设备发送分片出错的报文，使得目标设备在处理分片错误的报文时崩溃、重启或消耗大量的CPU资源，给目标设备带来损失。

分片报文攻击防范是指设备实时检测出分片报文并予以丢弃或者限速处理，实现对本设备的保护。

Large-ICMP攻击同ping of death类似，Large-ICMP也是利用一些大尺寸的ICMP报文对系统进行的一种攻击，与ping of death不同的是，Large-ICMP报文的长度不会超过IP报文的最大长度65535，但是对一些操作系统也会造成破环。

南京信息工程大学实验（实习）报告实验（实习）名称防火墙实验（实习）日期2012.10.12指导教师朱节中专业10软件工程年级三班次 2 班姓名曾艺学号20102344070 得分一．实验目的：1. 了解防火墙的相关知识2. 防火墙的简单实验二．实验步骤：1. 了解防火墙的概念，类型及作用2. 防火墙的实验三．实验内容：1.防火墙的概念防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。

由计算机硬件或软件系统构成防火墙，来保护敏感的数据部被窃取和篡改。

防火墙是设置在可信任的企业内部和不可信任的公共网或网络安全域之间的以系列部件的组合，它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制出入网络的信息流，且本身具有较强的抗攻击能力。

它是提供信息安全服务，实现网络和信息安全的基础设施。

2防火墙的类型技术上看，防火墙有三种基本类型：包过滤型、代理服务器型和复合型。

它们之间各有所长，具体使用哪一种或是否混合使用，要根据具体需求确定。

包过滤型防火墙(Packet Filter Firewall)通常建立在路由器上，在服务器或计算机上也可以安装包过滤防火墙软件。

包过滤型防火墙工作在网络层，基于单个IP包实施网络控制。

它对所收到的IP数据包的源地址、目的地址、TCP数据分组或UDP报文的源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数，与网络管理员预先设定的访问控制表进行比较，确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。

这种防火墙的优点是简单、方便、速度快、透明性好，对网络性能影响不大，可以用于禁止外部不合法用户对企业内部网的访问，也可以用来禁止访问某些服务类型，但是不能识别内容有危险的信息包，无法实施对应用级协议的安全处理。

代理服务器型防火墙(Proxy Service Firewall)通过在计算机或服务器上运行代理的服务程序，直接对特定的应用层进行服务，因此也称为应用层网关级防火墙。

ICMP常见攻击ICMP Flood攻击通常情况下，网络管理员会用PING程序对网络进行监控和故障排除，大概过程如下：1.源计算机向接收计算机发出ICMP响应请求报文（ICMP ECHO）。

2.接收计算机接收到ICMP响应请求报文后，会向源计算机回应一个ICMP 应答报文（ECHOReply）。

这个过程是需要CPU处理的，在有些情况下还可能消耗掉大量的资源。

如果攻击者向目标计算机发送大量的ICMP ECHO报文（产生ICMP洪水），则目标计算机会忙于处理这些ECHO报文，而无法继续处理其它的数据报文。

如图5所示。

图5 ICMP Flood攻击示意图解决办法：设备针对ICMP泛洪攻击进行CAR（Committed Access Rate）限速，保证CPU不被攻击，保证网络的正常运行。

Ping of Death攻击所谓Ping of Death，就是利用一些尺寸超大的ICMP报文对系统进行的一种攻击。

IP报文的长度字段为16位，这表明一个IP报文的最大长度为65535。

对于ICMP回应请求报文，如果数据长度大于65507，就会使ICMP数据＋IP头长度（20）＋ICMP头长度（8）> 65535。

对于有些防火墙或系统，在接收到一个这样的报文后，由于处理不当，会造成系统崩溃、死机或重启。

大部分处理程序假定报文不会超过最大尺寸，超大报文重组所占内存块大于IP包最大尺寸，重组过程引发缓冲区溢出，系统进入非稳定状态，导致TCP/IP堆栈崩溃。

如图6所示。

图6 ICMP超大报文示意图解决办法：启用分片报文攻击防范后，设备在收到这种攻击报文后，直接丢弃该报文。

分片报文攻击是通过向目标设备发送分片出错的报文，使得目标设备在处理分片错误的报文时崩溃、重启或消耗大量的CPU资源，给目标设备带来损失。

分片报文攻击防范是指设备实时检测出分片报文并予以丢弃或者限速处理，实现对本设备的保护。

Large-ICMP攻击同ping of death类似，Large-ICMP也是利用一些大尺寸的ICMP报文对系统进行的一种攻击，与ping of death不同的是，Large-ICMP报文的长度不会超过IP报文的最大长度65535，但是对一些操作系统也会造成破环。

中南大学TCP/IP 攻击实验实验报告学生姓名学院信息科学与工程学院专业班级完成时间2015年 11 月 29 日目录1. 实验描述 (3)2. 实验步骤 (3)环境搭建 (3)实验 1：ARP缓存中毒 (3)实验 2：ICMP重定向攻击 . (4)实验 3：SYN洪流攻击 (5)实验 4：在 telnet和ssh连接上的TCP RST攻击 (6)实验5：对视频流应用程序的TCP RST 攻击 (7)实验 6：ICMP 盲目连接重置和源端关闭攻击 (7)实验 7：TCP报文劫持 (8)3. 总结 (8)TCP/IP 攻击实验1.实验描述【实验背景】由于 TCP/IP 协议是 Internet的基础协议，所以对TCP/IP 协议的完善和改进是非常必要的。

TCP/IP 协议从开始设计时候并没有考虑到现在网络上如此多的威胁, 由此导致了许多形形色色的攻击方法，一般如果是针对协议原理的攻击( 尤其 DDOS)，我们将无能为力。

TCP/IP 攻击的常用原理有：(1)源地址欺骗(Source Address Spoofing)Spoofing)；、 IP欺骗 (IP Spoofing)和 DNS欺骗 (DNS(2)路由选择信息协议攻击 (RIP Attacks) ；(3) 源路由选择欺骗(Source Routing Spoofing)；(4) TCP 序列号欺骗和攻击(TCP Sequence Number Spoofing and Attack)。

【实验目的】基于 TCP/IP 协议进行攻击实验, 了解 TCP/IP 协议的具体机制。

2.实验步骤环境搭建这里我使用三台虚拟机做实验，其中一个用于攻击；另一个用于被攻击；第三个作为观察者使用；把三台主机放在同一个LAN中，其配置信息参照如下所示（实际在实验过程中有所改动）：这里我使用的是Wireshark工具箱的SEED实验室已经搭建好，并且已经安装好相关的Ubuntu 系统，与此同时三台虚拟机都需要打开netwoxFTP 和 Telnet工具箱和服务：使用如下命令来完成上述任务Start the ftp server#servicevsftpd startStart the telnet server#serviceopenbsd-inetd start实验 1：ARP缓存中毒【实验背景】ARP缓存是 ARP协议的重要的一部分。

1 ICMP简介ICMP全称Internet Control Message Protocol(Intemet控制报文协议)，该协议是TCP/IP协议族的一个子协议，属于网络层协议，主要用于在主机与路由器之间传递控制报文。

控制报文是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。

当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时会自动发送ICMP报文。

我们可以通过Ping命令发送ICMP回应请求报文（ICMP Echo-Request）并记录收到ICMP回应回复报文（ICMP Echo-Reply）。

通过这些报文来对网络或主机的故障提供参考依据。

ICMP是用IP封装和发送的，用来向IP和高层协议通报有关网络层的差错和流量控制情况，所有的路由器和主机都支持此协议。

1.1 ICMP报文0：回应应答3：目的不可达4：源抑制5：路由重定向8：回应请求11：分组超时14：时间戳应答17：地址掩码请求18：地址掩码应答ICMP报文的封装：封装在IP数据报中，如下图：1.2 ICMP回应请求和应答ICMP的请求、应答报文是一种双向信息查询报文，用于获取某些有用信息，以便进行故障诊断的网络控制。

请求、应答报文共有3对。

①回应请求/应答报文(类型8/0)：检测目的站点的可达性与状态。

信源机向目的机传送一个回应请求报文，其中包含一个任选的数据区。

目的机接收到请求报文后，向信源机发送相应的回应应答报文，其中包含了请求报文中的任选数据区的拷贝。

如果成功地接收到正确的应答报文，则说明网络的分组转发和路由选择功能是正常的。

在Unix 等许多操作系统中，Ping命令的实现就是利用该报文实现的。

②时间戳请求与应答报文(类型13/14)：在网络中实现时间同步和分组传送时间的估计。

利用该报文可以估计两个结点之间的机器时间差，以便进行同步。

但是，由于TCP/IP网络分组传送的随机性。

用这种方式进行测量和同步是很不准确的。

icmp重定向攻击原理
icmp重定向攻击利用ICMP(Internet Control Message Protocol)协议中的重定向报文（Redirect）来进行攻击，攻击者欺骗受害者主机，让其相信一个存在的路由器并且将其默认路由的下一跳地址被欺骗器所控制。

当受害者主机发送数据包时，数据包会被发送到欺骗器所控制的主机上，被欺骗器做进一步的操作，导致报文被篡改或丢失。

重定向报文是ICMP协议中的一种报文类型，用于通知一个路由器或者主机选择一个更好的路径。

当一个路由器或主机接收到一个数据包时，如发现包头的目的路由器并不是其下一跳的路由器，它会向源主机发送一个重定向报文，要求它使用更好的路径。

攻击者发送虚假的重定向报文，将受害者主机的默认路由下一跳地址改为欺骗器控制的地址，使得受害者主机的数据包被重定向到攻击者的主机上。

icmp重定向攻击可以使得攻击者可以通过篡改或者劫持服务器和客户端之间的tcp连接，从而进行网络欺骗、数据窃取、绕过防火墙和DDoS攻击等危害。

实验报告实验目的本实验目的是通过实践，了解TCP/IP协议中的漏洞，并且利用这些漏洞进行攻击,这些漏洞代表了协议的设计和运行的一种特殊类型；同时也从这个实验得到教训，为什么安全应该从一开始就设计，而不是在事后添加。

实验原理1.ARP欺骗ARP缓存是ARP协议的重要组成部分。

ARP协议运行的目标就是建立MAC地址和IP地址的映射，然后把这一映射关系保存在ARP缓存中，使得不必重复运行ARP协议。

但是ARP缓存不是一成不变的，我们可以伪造ARP应答帧纂改ARP映射表，这就是ARP 欺骗。

这样的后果会使主机发送信息到错误的MAC地址，导致数据被窃听；要么由于MAC 地址不存在，导致数据发送不成功。

2.ICMP重定向攻击ICMP重定向信息是路由器向主机提供实时的路由信息，当一个主机收到ICMP重定向信息时，它就会根据这个信息来更新自己的路由表。

因此，我们可以发送ICMP重定向信息给被攻击的主机，让该主机按照黑客的要求来修改路由表。

3.SYN洪流攻击SYN攻击是一种DoS（Denial of Service）攻击，在这种攻击中黑客向被攻击者的TCP端口发送很多SYN请求，但是黑客并不是想完成三次握手协议，而是使用伪造的IP地址或者只进行三次握手协议中的第一次握手。

因为SYN数据包用来打开一个TCP链接，所以受害者的机器会向伪造的地址发送一个SYN/ACK数据包作为回应，并等待预期的ACK响应。

每个处于等待状态，半开的链接队列都讲进入空间有限的待处理队列。

由于伪造的源地址实际上并不存在，所以将那些等待队列中的记录删除并完成建立TCP连接所需的ACK响应用于不会到来，相反每个半开的连接一定会超时，这将花费一段比较长的时间。

只要攻击者使用伪造的SYN数据包继续泛洪受害者的系统，受害者的待处理队列将一直处于满员，这使得真正的SYN数据包几乎不可能到达系统并打开有效的TCP连接。

4.对Telnet和SSH的TCP RST攻击TCP RST攻击可以终止两个被攻击主机之间的TCP连接。

ICMP攻击实验应用场景随着计算机网络的普及和发展，人们利用网络可以方便快捷地进行各种信息处理，例如，网上办公、电子商务、分布式数据处理等。

但网络也存在不容忽视的问题，例如，用户的数据被篡改、合法用户被冒充、通信被中断等。

面临着大量的网络入侵事件，就必须要求在一个开放式的计算机网络物理环境中构造一个封闭的逻辑环境来保障敏感信息和保密数据不受到攻击。

为此迫切需要对网络安全作分类研究，把各种网络安全问题清楚有序地组织起来，从而构建一个合理、安全、高效的网络防御体系。

网络安全保护的核心是如何在网络环境下保证数据本身的秘密性、完整性与操作的正确性、合法性与不可否认性。

而网络攻击的目的正相反，其立足于以各种方式通过网络破坏数据的秘密性和完整性或进行某些非法操作。

网络及其应用的广泛发展，安全威胁呈现出攻击的种类、方法和总体数量越来越多、破坏性和系统恢复难度也越来越大。

这就要求我们对攻击方法有更进一步的研究;对安全策略有更完善的发展，建立起一个全面的、可靠的、高效的安全体系。

DDOS 全名是Distribution Denial of service (分布式拒绝服务攻击)，指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS 攻击，从而成倍地提高拒绝服务攻击的威力。

通常，攻击者使用一个偷窃帐号将DDoS 主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在Internet 上的许多计算机上。

代理程序收到指令时就发动攻击。

利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

不同方式的ICMP 洪水:1.直接Flood首要条件是带宽够大，然后要求有一个好用的ICMP Flooder，例如AnGryPing，发包速度达到6000‐9000 包/秒(512 Kbps ADSL)，默认是32bytes 的ECHO 报文洪水。

ICMP（Internet Control Message Protocol）攻击是一种利用ICMP协议进行网络攻击的方式。

ICMP协议是用于在IP网络中传递控制信息的协议，它通常用于网络诊断、错误报告和网络管理等方面。

ICMP攻击的原理是利用ICMP协议的特性进行攻击，主要包括以下几种类型：ICMP洪水攻击（ICMP Flooding）：攻击者向目标主机发送大量的ICMP请求消息，使目标主机的网络资源（如带宽、CPU、内存等）耗尽，导致服务不可用。

ICMP回显请求攻击（ICMP Echo Request Attack）：攻击者发送大量的ICMP回显请求消息（也称为Ping请求），使目标主机不断回复这些请求，消耗目标主机的网络资源和处理能力。

ICMP分片攻击（ICMP Fragmentation Attack）：攻击者发送经过特殊处理的ICMP分片消息，目的是使目标主机的IP堆栈产生异常行为，如崩溃或拒绝服务。

ICMP重定向攻击（ICMP Redirect Attack）：攻击者发送伪造的ICMP重定向消息，使目标主机误导路由表，导致流量被重定向到攻击者控制的恶意主机。

这些攻击方法都利用了ICMP协议的一些弱点和漏洞，通过发送大量的恶意ICMP消息或利用协议本身的设计缺陷，造成目标主机的资源消耗、服务中断或网络异常。

为了防范ICMP攻击，可以采取以下措施：网络入口设备上配置ICMP过滤规则，限制ICMP流量的数量和频率。

配置防火墙或入侵检测系统（IDS）来检测和阻止异常的ICMP流量。

更新和维护系统的操作系统和网络设备的软件补丁，以修复可能存在的ICMP漏洞。

启用流量限制和流量监控，及时发现异常流量并采取相应措施。

使用网络安全设备和解决方案，如DDoS防护设备，来保护网络免受大规模的ICMP攻击。

总体而言，ICMP攻击是一种常见的网络攻击手段，网络管理员和安全专业人员需要采取相应的防护措施来保护网络和系统的安全。

ICMPRedirect攻击ICMP Redirect攻击ICMP Redirect攻击是一种网络安全威胁，利用Internet控制消息协议（ICMP）来欺骗网络设备，诱导其修改路由表，从而达到攻击者的意图。

本文将介绍ICMP Redirect攻击的原理、危害以及如何预防这种类型的攻击。

一、ICMP Redirect攻击原理ICMP Redirect是一种用于网络通信中的控制协议，其主要目的是让网络设备更有效地转发数据包。

通常情况下，当一个主机发送数据包时，中间网关设备会检查目标地址所属的网络是否与发送者在同一个网络中。

如果不在同一个网络中，网关设备会通过发送ICMP Redirect消息告知发送者使用一个更适当的网关来转发数据包。

攻击者利用这一机制，发送伪造的ICMP Redirect消息，欺骗网络设备修改其路由表。

二、ICMP Redirect攻击危害ICMP Redirect攻击的主要危害在于攻击者可以劫持网络流量，并将其引导到恶意的中间设备。

一旦路由发生改变，攻击者可以实施多种类型的攻击，如中间人攻击、数据包嗅探等。

此外，攻击者还可以通过篡改ICMP Redirect消息中的信息，将合法的网络流量导向攻击者控制的恶意节点。

这种攻击行为对于网络安全造成严重的威胁。

三、预防ICMP Redirect攻击为了有效预防ICMP Redirect攻击，以下几点建议可以参考：1.过滤ICMP Redirect消息：网络设备可以设置过滤规则，只允许来自可信源地址的ICMP Redirect消息通过。

这样，攻击者发送的伪造ICMP Redirect消息将被过滤掉，减少攻击威胁。

2.使用静态路由：静态路由是一种不依赖ICMP Redirect消息的路由设置方式。

通过手动配置路由表，可以避免被攻击者利用ICMP Redirect消息修改路由。

3.使用安全防火墙：在网络中添加安全防火墙可以对传入的ICMP Redirect消息进行检查和过滤。

ICMP攻击技术分析ICMP( Internet Control Message Protocol) 是一种用于在 IP 网络上发送控制消息的协议。

它主要用于网络设备间的通信和诊断。

然而，由于 ICMP 的设计缺陷和滥用，它也被黑客用来进行攻击。

下面将对ICMP 攻击技术进行详细分析。

1. ICMP Flooding:ICMP flooding 是一种常见的 DoS(拒绝服务)攻击。

黑客会发送大量的 ICMP 请求到目标主机，目的是消耗其网络带宽和系统资源。

当目标主机无法处理大量请求时，会导致网络无法正常运行或服务不可用。

2. ICMP Redirect:ICMP Redirect 是一种利用网络路由协议的攻击方法。

黑客会通过发送 ICMP Redirect 消息给目标计算机，欺骗其改变发送数据的路由。

这样一来，黑客可以实施中间人攻击和数据篡改。

3. ICMP Smurf Attack:Smurf 攻击是一种利用 ICMP Echo Reply 消息泛洪目标网络的攻击方法。

黑客会发送大量的 ICMP Echo 请求到广播地址，而广播地址会将请求发送到整个网络中的所有主机。

这会导致网络带宽消耗、网络堵塞和目标主机服务不可用。

4. ICMP Blind Spoofing:ICMP 盲作伪是一种通过解析 ICMP Echo 请求来判断目标主机是否在线的攻击方法。

黑客会发送 ICMP Echo 请求到目标主机，并根据 ICMPEcho Reply 的响应时间来判断目标主机是否在线。

通过多次尝试和分析响应时间，黑客可以确定目标主机的在线时间和使用的操作系统。

5. ICMP Port Unreachable:ICMP Port Unreachable 是一种常见的端口扫描技术。

黑客会发送ICMP Port Unreachable 的消息到目标主机的未开放端口，以便确定目标主机上哪些端口是开放的。

6. ICMP Timestamp Request:ICMP Timestamp Request 是一种攻击方法，黑客通过发送 ICMP Timestamp Request 消息到目标主机，来获取目标主机的系统时间。

一、实验目的
1.ICMP重定向攻击
2.ICMP重定向攻击的防范
二、实验内容与步骤
（1）设置网络环境
1.主机A、F设置成在不同网段的IP地址，需要通过路由主机E才能正常通信。

2.主机B、E为双网卡主机，将eth0设置为主机A段IP地址，将eth1设置成主机F段IP 地址，主机E开启的路由功能（echo 1 >/proc/sys/net/ipv4/ip_forward）。

3.主机A、F设置自己的网关为同网段主机E的IP地址。

（2）ICMP重定向攻击，使A-发给F的报文传输到B，然后B转发给F
1.黑客主机B攻击A的命令：
2. 主机A对主机F发送的数据通过主机B的时候，主机B对其源IP地址进行转换，改为自己的IP地址
（3）构造数据
构造主控机伪造受害主机向傀儡机发送的数据包
构造傀儡机向受害主机发送的数据包
（4）关闭ICMP重定向功能
1.Linux下
echo 0 > /proc/sys/net/ipv4/conf/DEV/accept_redirects
2.Windows下
修改注册表中的
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRe direct”的值为0，然后重启系统使其生效
三、实验小结
ICMP重定向攻击的步骤：
1.启动ICMP重定向攻击工具
2.黑客修改自身的路由设置，作SNAT转换并转发。

网络实验指导----ICMP协议的分析与实现网络实验指导——ICMP协议的分析与实现一、实验目的本实验旨在深入理解 Internet Control Message Protocol (ICMP) 的工作原理，通过分析 ICMP 报文，了解其在网络通信中的作用，并掌握 ICMP 在网络故障诊断和排除中的应用。

二、实验背景ICMP 是 TCP/IP 协议族中的一种辅助协议，用于传递控制消息，提供错误报告和诊断信息。

当在 IP 网络中遇到问题时，ICMP 可以帮助诊断和解决问题。

因此，对 ICMP 的深入理解对于网络管理员和安全专家来说至关重要。

三、实验工具/环境1.操作系统：Windows 或 Linux2.网络工具：Wireshark3.编程语言：Python（用于编写 ICMP 客户端和服务端程序）四、实验步骤与记录步骤 1：捕获 ICMP 报文1.在实验机器上安装 Wireshark 并启动。

2.通过 Wireshark 捕获 ICMP 报文。

可以在 Wireshark 的过滤器中输入“icmp” 来只显示 ICMP 报文。

3.分析捕获到的 ICMP 报文，观察其结构、字段和用途。

步骤 2：实现 ICMP 客户端和服务端程序1.使用 Python 编写一个简单的 ICMP 客户端程序，发送 ICMP Echo 请求报文到目标 IP 地址。

2.编写一个 ICMP 服务端程序，监听来自客户端的 ICMP Echo 请求，并发送ICMP Echo 回复报文。

3.运行客户端和服务端程序，观察是否能成功实现 ICMP Echo 请求和回复。

步骤 3：利用 ICMP 进行网络故障诊断与排除1.分析网络故障，确定可能的问题所在。

如网络连接中断、无法访问特定网站等。

2.使用 Wireshark 和 Python 编写的 ICMP 客户端程序，进行故障诊断和排除。

3.根据捕获到的 ICMP 报文和程序运行结果，判断故障原因，提出解决方案。

如何防御前端开发实训中的恶意重定向攻击恶意重定向攻击（Malicious Redirect Attack）是指黑客通过在网页中注入恶意代码，将用户在访问过程中原本要访问的网址重定向至恶意网站，从而获取用户信息或进行其他恶意行为。

这种攻击方式在前端开发实训中较为常见，为了保护用户信息安全，前端开发者需要采取一系列防御措施。

本文以下将介绍一些常用的防御方法。

1. 输入验证和过滤恶意重定向攻击通常是通过对输入网址或参数进行篡改来实现的。

因此，在开发过程中，前端开发者需要对用户输入的网址或参数进行验证和过滤。

可以使用正则表达式来限制输入的格式，过滤掉一些非法字符或恶意代码，确保输入的网址或参数是合法的。

2. 使用HTTP响应头中的安全策略在服务器返回网页内容时，可以在HTTP响应头中设置一些安全策略，限制网页的行为，防止恶意重定向攻击的发生。

常见的安全策略包括以下几个方面：- 使用Content-Security-Policy（CSP）头部来限制浏览器中执行的脚本文件来源，禁止加载外部的不受信任的脚本文件。

- 设置Strict-Transport-Security（HSTS）头部，强制使用HTTPS 协议进行通信，防止中间人攻击。

- 设置X-Frame-Options头部，防止网页被嵌入到其他网站中，减少点击劫持风险。

- 设置X-XSS-Protection头部，启用浏览器的内置跨站脚本攻击防护功能。

通过在HTTP响应头中设置合适的安全策略，可以有效地防御恶意重定向攻击。

3. 使用安全的重定向方法和参数过滤在前端开发过程中，如果确实需要进行网页的重定向操作，应该使用安全的重定向方法，并对重定向的参数进行合法性验证和过滤。

避免使用可被篡改的参数，如用户输入的参数，或者将用户输入的参数作为重定向的目标网址。

可以使用白名单机制，只允许特定的合法网址进行重定向操作。

4. 加强用户教育和意识用户教育和提高安全意识同样非常重要。

ICMP重定向攻击ICMP介绍ICMP（Internet Control Message Protocol）Internet控制报⽂协议。

它是TCP/IP协议簇的⼀个⼦协议，⽤于在IP主机、路由器之间传递控制消息。

控制消息是指⽹络通不通、主机是否可达、路由是否可⽤等⽹络本⾝的消息。

这些控制消息虽然并不传输⽤户数据，但是对于⽤户数据的传递起着重要的作⽤。

ICMP重定向ICMP重定向报⽂是ICMP控制报⽂中的⼀种。

是⽤来提⽰主机改变⾃⼰的主机路由从⽽使路由路径最优化的⼀种ICMP报⽂。

其概念理解的要义是原主机路由不是最佳路由，⽽其默认⽹关提醒主机优化⾃⾝的主机路由⽽发送的报⽂。

ICMP重定向原理ICMP重定向信息是路由器向主机提供实时的路由信息，当⼀个主机收到ICMP重定向信息时，它就会根据这个信息来更新⾃⼰的路由表。

由于缺乏必要的合法性检查，如果⼀个⿊客想要被攻击的主机修改它的路由表，⿊客就会发送 ICMP重定向信息给被攻击的主机，让该主机按照⿊客的要求来修改路由表。

实验环境：攻击机kali: 192.168.43.103 ⽹关192.168.43.1被攻击机 centos 7:192.168.43.190 ⽹关192.168.43.1在此前需要开启攻击机的路由转发功能，此处使⽤kali作为攻击机在etc/sysctl.conf 将转发参数改为“1”正常情况下，被攻击机器ping 返回如下所⽰发起攻击netwox 86 -f “host {被攻击主机ip地址}” -g “{新指定的⽹关ip地址}” -i “{当前⽹关ip地址}”netwox 86 -f "host 192.168.43.190" -g "192.168.43.103" -i "192.168.43.1"这句话的意思是，嗅探⽹络中来⾃主机192.168.43.190的数据包，⼀旦出现，就以⽹关192.168.43.103的名义，向数据包的源地址发送⼀个ICMP重定向报⽂，使之使⽤192.168.43.103作为默认的路由。

1 ICMP简介ICMP全称Internet Control Message Protocol(Intemet控制报文协议)，该协议是TCP/IP协议族的一个子协议，属于网络层协议，主要用于在主机与路由器之间传递控制报文。

控制报文是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。

当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时会自动发送ICMP报文。

我们可以通过Ping命令发送ICMP回应请求报文（ICMP Echo-Request）并记录收到ICMP回应回复报文（ICMP Echo-Reply）。

通过这些报文来对网络或主机的故障提供参考依据。

ICMP是用IP封装和发送的，用来向IP和高层协议通报有关网络层的差错和流量控制情况，所有的路由器和主机都支持此协议。

1.1 ICMP报文0：回应应答3：目的不可达4：源抑制5：路由重定向8：回应请求11：分组超时14：时间戳应答17：地址掩码请求18：地址掩码应答ICMP报文的封装：封装在IP数据报中，如下图：1.2 ICMP回应请求和应答ICMP的请求、应答报文是一种双向信息查询报文，用于获取某些有用信息，以便进行故障诊断的网络控制。

请求、应答报文共有3对。

①回应请求/应答报文(类型8/0)：检测目的站点的可达性与状态。

信源机向目的机传送一个回应请求报文，其中包含一个任选的数据区。

目的机接收到请求报文后，向信源机发送相应的回应应答报文，其中包含了请求报文中的任选数据区的拷贝。

如果成功地接收到正确的应答报文，则说明网络的分组转发和路由选择功能是正常的。

在Unix 等许多操作系统中，Ping命令的实现就是利用该报文实现的。

②时间戳请求与应答报文(类型13/14)：在网络中实现时间同步和分组传送时间的估计。

利用该报文可以估计两个结点之间的机器时间差，以便进行同步。

但是，由于TCP/IP网络分组传送的随机性。

用这种方式进行测量和同步是很不准确的。