icmp

高级ICMP扫描技术平是ICMP协议步行，先进的ICMP扫描技术是利用ICMP协议：错误的根本宗旨。根据网络协议，根据该协议，如果出现一个错误，然后在接收端将产生一个ICMP错误消息。这些错误消息是不请自来，但由于错误，根据协议自动生成。 当IP数据报的校验和错误的版本中，目标主机将丢弃此数据包校验和错误，则该路由器直接丢弃该数据报。一些主机，如AIX，HP-UX，不发送ICMP不可到达的数据报。 我们使用以下功能： 1，一个IP数据包的IP报头，目标将返回一个ICMP目的地不可达的错误消息发送到目标主机。 2，错误的IP数据包发送到目标主机，如不正确的IP头长度，目标主机会返回一个ICMP参数问题的错误消息。 3，ICMP数据报组装超时超时会发送一片片组装数据包碎片，但并没有给予足够的片在接收端，接收端。 到目的主机发送一个IP数据报，但该协议是错误的，如该协议是不可用的，那么目标将返回一个ICMP目的地不可达报文，但如??果目标主机之前，防火墙或过滤装置过滤掉提出了要求，没有收到任何回应。您可以使用一个非常大的协议数字IP头的协议内容，本协议数字至少在今天还没有被使用，它应该是主机将无法访问无法到达ICMP数据报返回返回一个错误消息，那么就说明过滤防火墙或其他设备，我们也可以使用这种方法来检测是否有防火墙或其他过滤设备。 IP协议来检测主机正在使用哪些协议，我们可以更改IP头的协议，8个，256个可能的。返回ICMP错误消息的目标，确定所使用的协议。如果返回的目的地不可达的主机，然后使用此协议，相反，如果什么都没有返回，主机可能使用这个协议，但也可能是防火墙过滤掉。 NMAP的IP协议扫描是利用这个原理。 造成IP分片组装超时的ICMP错误消息，也可以达到这个目标，我们的检测。当主机接收到丢失的数据包片，并在一定时间内丢失的数据包没有收到，它会丢弃整个包，并且发送ICMP分片组装超时错误的原始发件人。我们可以使用这个功能的制造数据包的分片，然后等待ICMP组装超时错误消息。片，TCP，UDP和ICMP数据包碎片，只是没有到目标主机获得完整的数据包就行了，当然，对于UDP这种非连接的不可靠的协议，如果我们没有收到线或其他问题，是由于超时错误ICMP消息被返回，在传输过程中可能会丢失。 我们能够充分利用这些功能得到防火墙的ACL（访问控制列表），即使有这些功能，整个网络拓扑结构。如果我们不能从目标不可达报文分片组装超时错误消息，你可以做出如下判断：防火墙过滤器我们发送的协议类型 2，防火墙过滤指定的端口防火墙阻止ICMP目的地不可达协议不可达的错误消息。 4，防火墙阻止指定的主机的ICMP错误报文。 高级TCP扫描技术使用最基本的TCP扫描，使用connect（），这是很容易实现的，如果目标主机能够连接，显示一个相应的端口是开放的。然而，这是最原始的和拒绝的第一保护工具。 在高级TCP扫描技术，主要使用的TCP连接的三次握手和TCP数据头标志，这就是所谓的半开扫描的特点。 首先了解的TCP数据报头6个标志。 URG：紧急指针字段显着紧急指针。二手1的值，处理避免TCP数据流的中断的ACK（确认字段显着）合法的，0时，所述数据集表示的确认号码（确认号码）段不包含一条确认信息，确认号被忽略。 PSH：（Push功能），PUSH标志的数据，所请求的数据段可以直接发送给收件人得到应用，而无需等待，直到缓冲区满时传输。 RST：（复位该连接）是用来重置由于某种原因，连接所引起的误差，也可以被用来拒绝非法数据和请求。接收到RST位时，通常会出现一些错误。 SYN：（同步序列号）被用于建立一个连接，在连接请求中，SYN = 1，ACK = 0，连接响应时，SYN = 1，ACK = 1。也就是说，SYN和ACK来区分接受连接请求和连接。 FIN：（没有更多的数据从发送者）用来释放连接，发送者要发送的数据。 TCP协议连接的三次握手过程是这样的：首先在连接请求中的所有客户端（请求方），发送一个SYN = 1，ACK = 0 TCP数据包发送到服务器端的（接收请求结束），报告的数据到客户端，服务器端同意此连接请求与服务器端建立连接，然后，如果服务器端响应这个连接，它返回一个SYN = 1，ACK =，并要求最终确认;最后一个客户端发送SYN = 0，ACK = 1的数据包到服务??器端，以确认连接的建立。 使用这些标志和TCP协议连接的三次握手扫描探针的特点。 SYN扫描，这种扫描模式也被称为“半开放”扫描，因为使用TCP协议连接的第一步，而不是一个完成TCP连接。 方法来完成，这是唯一的端口连接到远程主机发送一个包含SYN标志的TCP数据包到主机反馈一个SYN | ACK包，然后在主机上监听的端口，如果反馈RST包主机没有在该端口上侦听。有SYN X扫描器选项。发送一个ACK标志ACK扫描TCP数据报的主机，如果主机反馈一个TCP RST数据包，则该主机是存在。也可以使用这种技术来确定的其他防火墙是一个简单的包过滤，基于状态的防火墙。 FIN 端口发送一个TCP FIN数据报发送到远程主机。如果主机没有任何反馈，那么主机是存在的，并且正在监听此端口的主机反馈一个TCP RST回来，那么主机是存在的，但没有听到这个端口。 NULL 发送一个TCP数据包，根据RFC793，没有标志的目标主机的相应端口是关闭的，它应该发送一个RST数据包。 FIN + URG + PUSH FIN，URG和PUSH包发送到目标主机，根据RFC793，如果目标主机的相应端口是关闭的，那么它应该返回一个RST国旗。 上面的方法可以绕过一些防火墙防火墙后面的主机，当然，不是被欺骗了。这些方法的另一个优点是比较困难的某种方式被记录下来，甚至在netstat命令也根本显示不出来，一般的安全设备不记录这些，所以能够更好地隐藏自己。 先进的UDP扫描技术扫描UDP的实现，是一个组合的使用，和ICMP的ICMP提到。有一些特殊的UDP反馈，如SQL SERVER，端口发送它的1434“X02”或“X03”能够检测到它的端口。

Socket套接字起源于美国泊克利大学.方便了开发网络应用程序.TCP面向连接的可靠传输协议,具有数据确认和数据重传机制.保证了发送数据一定能到达通信的对方.对数据完整性要求比较高的场合使用UPD协议无连接,不可靠的传输协议.不具有数据确认和数据重传机制,对数据完整性要求比较低的场合使用IP 网络中每台主机都必须有一个惟一IP地址 IP地址是个逻辑地址 因特网上的IP地址具有全球惟一性 32位,4个字节,常用点分十进制的格式表示icmp记不太清楚了 不好意思

在 UNIX/Linux 系统中，ftp 是文件传输协议（file transfer protocol）的缩写，主要用于 FTP 服务器上的协议；http 是超文本传输协议（HyperText Transfer Protocol）的缩写，主要用于访问各种网站；tftp 是简单文件传输协议（Trivial File Transfer Protocol）的缩写，它用来提供不复杂、开销不大的文件传输服务，不过现在使用的普遍的还是 ftp 协议；smtp是简单邮件传输协议（Simple Mail Transfer Protocol）的缩写，主要用于电子邮件服务器的发送邮件的发送协议、icmp是Internet控制报文协议（Internet Control Message Protocol）的缩写，我们平时使用的 ping 命令测试两台电脑之间是否连通，使用的就是 ICMP 协议。

主要是为了向源主机发送源抑制报文通知源主机减慢发送速度

lCMP协议是一个互联网协议,用于在PKI体系中获取符合X.509标准的数字证书，ICMP协议的作用就是更好的保证质量

ICMP提供一致易懂的出错报告信息。发送的出错报文返回到发送原数据的设备，因为只有发送设备才是出错报文的逻辑接受者。发送设备随后可根据ICMP报文确定发生错误的类型，并确定如何才能更好地重发失败的数据包。但是ICMP唯一的功能是报告问题而不是纠正错误，纠正错误的任务由发送方完成。我们在网络中经常会使用到ICMP协议，比如我们经常使用的用于检查网络通不通的Ping命令（Linux和Windows中均有），这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的。

ICMP是（InternetControlMessageProtocol）Internet控制报文协议。它是TCP/IP协议簇的一个子协议，用于在IP主机、路由器之间传递控制消息。属于网络层协议控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。/iknow-pic.cdn.bcebos.com/500fd9f9d72a6059870f74432634349b033bba48"target="_blank"title="点击查看大图"class="ikqb_img_alink">/iknow-pic.cdn.bcebos.com/500fd9f9d72a6059870f74432634349b033bba48?x-bce-process=image%2Fresize%2Cm_lfit%2Cw_600%2Ch_800%2Climit_1%2Fquality%2Cq_85%2Fformat%2Cf_auto"esrc="https://iknow-pic.cdn.bcebos.com/500fd9f9d72a6059870f74432634349b033bba48"/>扩展资料：在Internet没有形成之前，世界各地已经建立了很多小型网络，但这些网络存在不同的网络结构和数据传输规则，要将它们连接起来互相通信，就好比要让使用不同语言的人们交流一样，需要建立一种大家都听得懂的语言，而TCP/IP就能实现这个功能，它就好比Internet上的“世界语”。网络层位于物联网三层结构中的第二层，其功能为“传送”，即通过通信网络进行信息传输。网络层作为纽带连接着感知层和应用层。它由各种私有网络、互联网、有线和无线通信网等组成，相当于人的神经中枢系统，负责将感知层获取的信息，安全可靠地传输到应用层，然后根据不同的应用需求进行信息处理。参考资料来源：/baike.baidu.com/item/%E7%BD%91%E7%BB%9C%E5%B1%82/16523988"target="_blank"title="百度百科-网络层">百度百科-网络层参考资料来源：/baike.baidu.com/item/ICMP"target="_blank"title="百度百科-ICMP">百度百科-ICMP

在建立ping的过程中，要求方会发一个icmp包向目的主机请求，目的主机会回一个icmp包，这样ping就建立了。icmp包完成双方的交互功能。

ICMP是“Internet Control Message Protocol”（Internet控制消息协议）的缩写。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。 我们在网络中经常会使用到ICMP协议，只不过我们觉察不到而已。比如我们经常使用的用于检查网络通不通的Ping命令，这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的。 ICMP的重要性 ICMP协议对于网络安全具有极其重要的意义。ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机. 比如，可以利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定，向主机发起“Ping of Death”（死亡之Ping）攻击。“Ping of Death” 攻击的原理是：如果ICMP数据包的尺寸超过64KB上限时，主机就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使主机死机。 此外，向目标主机长时间、连续、大量地发送ICMP数据包，也会最终使系统瘫痪。大量的ICMP数据包会形成“ICMP风暴”，使得目标主机耗费大量的CPU资源处理，疲于奔命。 应对ICMP攻击 虽然ICMP协议给黑客以可乘之机，但是ICMP攻击也并非无药可医。只要在日常网络管理中未雨绸缪，提前做好准备，就可以有效地避免ICMP攻击造成的损失。 对于“Ping of Death”攻击，可以采取两种方法进行防范：第一种方法是在路由器上对ICMP数据包进行带宽限制，将ICMP占用的带宽控制在一定的范围内，这样即使有ICMP攻击，它所占用的带宽也是非常有限的，对整个网络的影响非常少；第二种方法就是在主机上设置ICMP数据包的处理规则，最好是设定拒绝所有的ICMP数据包。 设置ICMP数据包处理规则的方法也有两种，一种是在操作系统上设置包过滤，另一种是在主机上安装防火墙。

一、什么是ICMP协议？ ICMP全称Internet Control Message Protocol（网际控制信息协议）。提起ICMP，一些人可能会感到陌生，实际上，ICMP与我们息息相关。在网络体系结构的各层次中，都需要控制，而不同的层次有不同的分工和控制内容，IP层的控制功能是最复杂的，主要负责差错控制、拥塞控制等，任何控制都是建立在信息的基础之上的，在基于IP数据报的网络体系中，网关必须自己处理数据报的传输工作，而IP协议自身没有内在机制来获取差错信息并处理。为了处理这些错误，TCP/IP设计了ICMP协议，当某个网关发现传输错误时，立即向信源主机发送ICMP报文，报告出错信息，让信源主机采取相应处理措施，它是一种差错和控制报文协议，不仅用于传输差错报文，还传输控制报文。 二、ICMP报文格式 ICMP报文包含在IP数据报中，属于IP的一个用户，IP头部就在ICMP报文的前面，所以一个ICMP报文包括IP头部、ICMP头部和ICMP报文（见图表，ICMP报文的结构和几种常见的ICMP报文格式），IP头部的Protocol值为1就说明这是一个ICMP报文，ICMP头部中的类型（Type）域用于说明ICMP报文的作用及格式，此外还有一个代码（Code）域用于详细说明某种ICMP报文的类型，所有数据都在ICMP头部后面。RFC定义了13种ICMP报文格式，具体如下： 类型代码 类型描述 0 响应应答（ECHO-REPLY） 3 不可到达 4 源抑制 5 重定向 8 响应请求（ECHO-REQUEST） 11 超时 12 参数失灵 13 时间戳请求 14 时间戳应答 15 信息请求（*已作废） 16 信息应答（*已作废） 17 地址掩码请求 18 地址掩码应答 其中代码为15、16的信息报文已经作废。 下面是几种常见的ICMP报文： 1.响应请求 我们日常使用最多的ping，就是响应请求（Type=8）和应答（Type=0），一台主机向一个节点发送一个Type=8的ICMP报文，如果途中没有异常（例如被路由器丢弃、目标不回应ICMP或传输失败），则目标返回Type=0的ICMP报文，说明这台主机存在，更详细的tracert通过计算ICMP报文通过的节点来确定主机与目标之间的网络距离。 2.目标不可到达、源抑制和超时报文 这三种报文的格式是一样的，目标不可到达报文（Type=3）在路由器或主机不能传递数据报时使用，例如我们要连接对方一个不存在的系统端口（端口号小于1024）时，将返回Type=3、Code=3的ICMP报文，它要告诉我们：“嘿，别连接了，我不在家的！”，常见的不可到达类型还有网络不可到达（Code=0）、主机不可到达（Code=1）、协议不可到达（Code=2）等。源抑制则充当一个控制流量的角色，它通知主机减少数据报流量，由于ICMP没有恢复传输的报文，所以只要停止该报文，主机就会逐渐恢复传输速率。最后，无连接方式网络的问题就是数据报会丢失，或者长时间在网络游荡而找不到目标，或者拥塞导致主机在规定时间内无法重组数据报分段，这时就要触发ICMP超时报文的产生。超时报文的代码域有两种取值：Code=0表示传输超时，Code=1表示重组分段超时。 3.时间戳 时间戳请求报文（Type=13）和时间戳应答报文（Type=14）用于测试两台主机之间数据报来回一次的传输时间。传输时，主机填充原始时间戳，接收方收到请求后填充接收时间戳后以Type=14的报文格式返回，发送方计算这个时间差。一些系统不响应这种报文。 三、回到正题：这样的攻击有效吗？ 在前面讲过了，ping使用的是ECHO应答，不知道大家注意过没有，ping的返回很慢，用NetXRAY抓包仅为1--5包/秒，这是为什么呢？事实上，ICMP本身并不慢（由于ICMP是SOCK_RAW产生的原始报文，速度比SOCK_STREAM的SYN和SOCK_DGRAM的UDP要快几乎10倍！），这样的速度是ping程序故意延迟的（为什么？M$可不想每个人都能用ping来干坏事），同样，我测试过一些号称“ping洪水”的程序，发现它们的效率和ping.exe没什么两样，经过Dependency Walker查看程序调用的函数发现，他们用的是icmp.dll提供的IcmpSendEcho这个API，这个函数是计算ECHO时间的，速度当然慢！而那两个“高手”号召的ping攻击实际上就是为了实现ICMP洪水攻击，但是他们用的方法……想想洪水的速度和山涧小溪的速度相差多少吧！就用ping.exe和IcmpSendEcho这种小溪慢慢流淌的速度能做什么？还不是让人家看笑话！这种攻击根本就是浪费自己的时间！（如今还经常有人问ping -l 65500 -t的攻击威力如何……哎，悲哀啊悲哀……） 四、什么是ICMP洪水？ 1.ICMP洪水的成因 ping.exe和IcmpSendEcho速度慢的另一个原因是它们必须等待目标主机返回REPLY信息，这个过程需要花费大量时间，而Flood——洪水，顾名思义，是速度极快的，当一个程序发送数据包的速度达到了每秒1000个以上，它的性质就成了洪水产生器，洪水数据是从洪水产生器里出来的，但这样还不够，没有足够的带宽，再猛的洪水也只能像公路塞车那样慢慢移动，成了鸡肋。要做真正的洪水，就需要有一条足够宽的高速公路才可以。极慢的发送速度+56Kbps小猫等于什么？等于一个未关紧的水龙头，根本没用。由于ping.exe无法提速，这就需要专门的工具来做洪水了。足够快的数据包速度+足够的带宽，这才是洪水。 2.实现ICMP洪水的前提 最大的前提是攻击者的速度！如果你要用56K拨号去攻击一个512Kbps ADSL用户，后果和一只蚂蚁伸腿想绊倒大象的天方夜谭是一样的！其次是你的机器运行速度和数据吞吐量，由于涉及IP校验和的计算（先设置头校验和域的数值为0，然后对整个数据报头按每16位求异或，再把结果取反，就得到了校验和），如果数据处理能力不够，在这步就慢了一个级别，效果当然大打折扣。最后就是目标机器的带宽！如果对方比你大很多（例如你2M ADSL，别人用DDN或T1），那么任何Flood都是无病呻吟，挠痒都不够！（希望不要再问“小金，你的R-Series怎么不好用啊”、“我用小金的AnGryPing攻击别人半天都没事！”、“独裁者的攻击怎么无效啊？”这样的问题了，天啊，我头都大了！）还有许多人都忽略的问题：发送的速度与数据包大小成反比，而且太大的数据包会被路由器等设备过滤掉！找到一个合适的数据包大小，对提高Flood的效率有很大帮助！ 3.洪水——两败俱伤的攻击方式 别以为洪水无所不能，实际上，你展开洪水攻击时，攻击程序在消耗对方带宽和资源时，也在消耗你的带宽和资源。这只是个看谁撑得住的攻击而已。实际上，有经验的攻击者都是用被控制的服务器（肉鸡）来代替自己的机器发动攻击的，不到万不得已或者你对自己的机器网速有自信，否则尽量少用自己的机器来拼搏！ 五、不同方式的ICMP洪水 1.直接Flood 要做这个的首要条件是你的带宽够，然后就是要一个好用的ICMP Flooder，别用ping.exe那种探路用的垃圾，例如我以前发布的AnGryPing，发包速度达到6000---9000包/秒（512 Kbps ADSL），默认是32bytes的ECHO报文洪水，用它即使不能flood别人下去，防火墙也叫得够惨的了。直接攻击会暴露自己IP（如果对方没有还击能力那还无所谓，固定IP用户不推荐使用这种Flood），直接Flood主要是为了顾及Win9x/Me不能伪造IP的缺陷，否则一般还是别用为妙。 简单示意： ICMP 攻击者[IP=211.97.54.3]--------------------------------->受害者[截获攻击者IP=211.97.54.3]==>换IP回来反击，嘿嘿 2.伪造IP的Flood 如果你是Win2000/XP并且是Administrator权限，可以试试看FakePing，它能随意伪造一个IP来Flood，让对方摸不到头脑，属于比较隐蔽阴险的Flood。 简单示意： 伪造IP=1.1.1.1的ICMP 攻击者[IP=211.97.54.3]--------------------------------->受害者[截获攻击者IP=1.1.1.1]==>倒死 3.反射 用采取这种方式的第一个工具的名称来命名的“Smurf”洪水攻击，把隐蔽性又提高了一个档次，这种攻击模式里，最终淹没目标的洪水不是由攻击者发出的，也不是伪造IP发出的，而是正常通讯的服务器发出的！ 实现的原理也不算复杂，Smurf方式把源IP设置为受害者IP，然后向多台服务器发送ICMP报文（通常是ECHO请求），这些接收报文的服务器被报文欺骗，向受害者返回ECHO应答（Type=0），导致垃圾阻塞受害者的门口…… 从示意图可以看出，它比上面两种方法多了一级路径——受骗的主机（称为“反射源”），所以，一个反射源是否有效或者效率低下，都会对Flood效果造成影响！ 简单示意： 伪造受害者的ICMP 应答 攻击者[IP=211.97.54.3]-------------------------->正常的主机--------------->受害者[截获攻击者IP=……网易？！]==>哭啊…… 以上是几种常见的Flood方式，在测试中，我发现一个有趣的现象：一些防火墙只能拦截ECHO请求（Ping）的ICMP报文，对于其他ICMP报文一概睁只眼闭只眼，不知道其他防火墙有没有这个情况。所以想神不知鬼不觉对付你的敌人时，请尽量避开直接ECHO Flood，换用Type=0的ECHO应答或Type=14的时间戳应答最好，其他类型的ICMP报文没有详细测试过，大家可以试试看Type=3、4、11的特殊报文会不会有更大效果。 六、ICMP Flood能防吗？ 先反问你一个问题：洪水迅猛的冲来时，你能否拿着一个脸盆来抵挡？（坐上脸盆做现代鲁宾逊倒是个不错的主意，没准能漂到MM身边呢） 软件的网络防火墙能对付一些漏洞、溢出、OOB、IGMP攻击，但是对于洪水类型的攻击，它们根本无能为力，我通常对此的解释是“倾倒垃圾”：“有蟑螂或老鼠在你家门前逗留，你可以把它们赶走，但如果有人把一车垃圾倾倒在你家门口呢？”前几天看到mikespook大哥对此有更体面的解释，转载过来——“香蕉皮原理：如果有人给你一个香蕉和一个香蕉皮你能区分，并把没有用的香蕉皮扔掉。（一般软件防火墙就是这么判断并丢弃数据包的。）但是如果有人在同一时间内在你身上倒一车香蕉皮，你再能区分有用没用也没啥作用了~~因为你被香蕉皮淹没了~~~~（所以就算防火墙能区分是DoS的攻击数据包，也只能识别，根本来不及丢弃~~死了，死了，死了~~）” 所以，洪水没法防！能做的只有提高自己的带宽和预防洪水的发生（虽然硬件防火墙和分流技术能做到，但那价格是太昂贵的，而且一般人也没必要这样做）。 如果你正在被攻击，最好的方法是抓取攻击者IP（除非对方用第一种，否则抓了没用——假的IP）后，立即下线换IP！（什么？你是固定IP？没辙了，打电话找警察叔叔吧） 七、被ICMP Flood攻击的特征 如何发现ICMP Flood？ 当你出现以下症状时，就要注意是否正被洪水攻击： 1.传输状态里，代表远程数据接收的计算机图标一直亮着，而你没有浏览网页或下载 2.防火墙一直提示有人试图ping你 3.网络速度奇慢无比 4.严重时系统几乎失去响应，鼠标呈跳跃状行走 如果出现这些情况，先不要慌张，冷静观察防火墙报警的频率及IP来确认是否普通的Ping或是洪水，做出相应措施（其实大多数情况也只能换IP了）。 1.普通ping 这种“攻击”一般是对方扫描网络或用ping -t发起的，没多大杀伤力（这个时候，防火墙起的作用就是延迟攻击者的数据报发送间隔时间，请别关闭防火墙！否则后果是严重的！），通常表现如下：==============================================================[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。[13:09:24] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。[13:09:26] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。[13:09:30] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。=============================================================这么慢的速度，很明显是由ping.exe或IcmpSendEcho发出的，如果对方一直不停的让你的防火墙吵闹，你可以给他个真正的ICMP Flood问候。 2.直接Flood 这是比较够劲的真正意义洪水了，防火墙的报警密度会提高一个数量级：==============================================================[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。[13:09:21] 61.151.252.106 尝试用Ping 来探测本机，该操作被拒绝。============================================================= 这时候你的防火墙实际上已经废了，换个IP吧。 3.伪造IP的Flood 比较厉害的ICMP Flood，使用的是伪造的IP而且一样大密度，下面是the0crat用56K拨号对我的一次攻击测试的部分数据（看看时间，真晕了，这可是56K小猫而已啊）=============================================================[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，该操作被拒绝。[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，该操作被拒绝。[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，该操作被拒绝。[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，该操作被拒绝。[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，该操作被拒绝。[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，该操作被拒绝。[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，该操作被拒绝。[18:52:12] 1.1.1.1 尝试用Ping 来探测本机，该操作被拒绝。============================================================= 无言………… 4、反射ICMP Flood 估计现在Smurf攻击还没有多少人会用（R-Series的RSS.EXE就是做这事的，RSA.EXE和RSC.EXE分别用作SYN反射和UDP反射），所以这种方法还没有大规模出现，但Smurf是存在的！而且这个攻击方法比前面几种更恐怖，因为攻击你的是大网站（或一些受苦受难的服务器）！ 我正在被网易、万网和新浪网站攻击中（懒得修改策略，直接用其他工具抓的。实际攻击中，反射的IP会多几倍！）=======================================================================[15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52) [15:26:32] RECV:ICMP Packet from 202.108.36.206 (Type=0,Code=0,Len=52) [15:26:32] RECV:ICMP Packet from 210.192.103.30 (Type=0,Code=0,Len=52) [15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52) [15:26:32] RECV:ICMP Packet from 210.192.103.30 (Type=0,Code=0,Len=52) [15:26:32] RECV:ICMP Packet from 202.108.36.206 (Type=0,Code=0,Len=52) [15:26:32] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52) [15:26:32] RECV:ICMP Packet from 210.192.103.30 (Type=0,Code=0,Len=52) [15:26:32] RECV:ICMP Packet from 210.192.103.30 (Type=0,Code=0,Len=52) [15:26:32] RECV:ICMP Packet from 202.108.36.206 (Type=0,Code=0,Len=52) [15:26:33] RECV:ICMP Packet from 210.192.103.30 (Type=0,Code=0,Len=52) [15:26:33] RECV:ICMP Packet from 202.108.36.206 (Type=0,Code=0,Len=52) [15:26:33] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52) [15:26:33] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52) [15:26:33] RECV:ICMP Packet from 202.108.36.206 (Type=0,Code=0,Len=52)[15:26:33] RECV:ICMP Packet from 210.192.103.30 (Type=0,Code=0,Len=52) [15:26:33] RECV:ICMP Packet from 202.108.37.36 (Type=0,Code=0,Len=52) [15:26:33] RECV:ICMP Packet from 202.108.36.206 (Type=0,Code=0,Len=52) [15:26:33] RECV:ICMP Packet from 210.192.103.30 (Type=0,Code=0,Len=52) ======================================================================= 可以看出，攻击者使用的是32bytes的ECHO请求，所以服务器返回52-20=32bytes的REPLY报文，在这个情况下，是不会报警的。 还是那句话，报警也没用了。 八、自己编写ICMP Flooder 以上说的都是理论，如何才能自己写一个呢？相信很多人已经跃跃欲试了，下面就用VC6.0来写一个直接的ICMP Flooder（能在Win98/Me环境使用）……先等等——最重要的是原理。 1.程序原理 当然不能用IcmpSendEcho来做，我们必须自己从最原始的IP报文里做一个。构造一个SOCK_RAW报文后，填充ICMP数据和计算校验和（CheckSum），循环sendto发出去就完成了，so easy！ 2.ICMP报文的声明 一个ICMP报文包括IP头部、ICMP头部和ICMP报文，用IPPROTO_ICMP创建这个类型的IP包，用以下结构填充：typedef struct _ihdr{BYTE i_type; //8位类型BYTE i_code; //8位代码USHORT i_cksum; //16位校验和USHORT i_id; //识别号USHORT i_seq; //报文序列号ULONG timestamp; //时间戳}ICMP_HEADER;

这是几种常用的服务器攻击手段。他们共同的原理是，让服务器做大量的无用功，形成拥堵，不能及时响应正常的服务请求。syn flood(同步洪水攻击)，访问大量的不存在的ip地址，服务器确认地址无效的方法是不断发信息，直至超时，然后在回复请求者。如此，就会占用大量时间。udp flood(udp 洪水攻击)，udp是一种无连接传递协议。利用上传大量的伪造原地址的小upd包，产生大量的流量，占用服务器时间，造成局部网络拥堵。icmp flood(网络控制信息协议洪水攻击)，通过发送大小超过65535字节的大数据包，ping目标主机，目标主机接受回复这些包，消耗大量时间。只要禁止ping，就可以防止。

本来就可以抓到啊，你在数据包里面仔细找找

ATM和ethernet是物理层，IP ICMP IGMP ARP 是网络层，TCP UDP是传输层，HTTP FTP 是应用层，TCP/IP协议中就这基本的四层，由低到高

ICMP概述：ICMP使用IP数据报传送。允许主机或路由器报告差错情况和提供有关异常的报告。使IP数据报转发更有效，提高交付成功的机会。不产生ICMP差错报文的情况：1）ICMP差错报文（但是，ICMP查询报文可能会产生）2）目的地址是广播地址或多播地址的IP数据报。3）作为链路层广播的数据报。4）不是IP分片的第一片。5）源地址不是单个主机的数据报。目的是为了不产生广播风暴。ICMP的规则：ICMP差错报文必须包括生成该差错报文的数据报IP首部，还必须至少包括跟在IP首部后面的前8个字节（TCP/UDP首部等）。ICMP报文的分类一、ICMP差错报告报文1、终点不可达 Destination Unreachable Message代码Code：0 = net unreachable网络不可达;1 = host unreachable主机不可达;2 = protocol unreachable协议不可达;3 = port unreachable端口不可达;4 = fragmentation needed and DF set需要分片但设置了不可分片比特;5 = source route failed源站选路失败.产生的原因：UDP的规则之一是，如果收到一份UDP数据报而目的端口与某个正在使用的进程不相符，那么UDP返回一个ICMP不可达报文。2、 源点抑制Source Quench Message产生的原因：当一个系统（路由器或主机）接收数据报的速度比其处理速度快时，即路由器或者主机因拥塞丢弃数据报，可能产生这个差错，以减慢发送速度。3、 时间超过Time Exceeded MessageCode :0 = time to live exceeded in transit传输期间生存时间为0;1 = fragment reassembly time exceeded在数据报重装期间生存时间为0.产生的原因：1、生存时间(实际是跳数)递减为0,数据报被丢弃,只有可能是路由器发送2、当目的主机收到一个分片时,就会启动一个分片计时器,如果计时器内其它分片没完全到达,丢弃已经收到的所有分片。4、 参数问题Parameter Problem MessageCode :0 = pointer indicates the error坏的IP首部；1 = Require option missing缺少必须选项.产生的原因：数据报首部出现错误或者首部缺少一些选项。5、改变路由Redirect MessageCode :0 = Redirect datagrams for the Network网络重定向.1 = Redirect datagrams for the Host主机重定向.2 = Redirect datagrams for the Type of Service and Network服务类型和网络重定向.3 = Redirect datagrams for the Type of Service and Host服务类型和主机重定向.产生的原因：路由器要经常更新自己的路由表,网络上主机的数量远远大于路由器的数量,如果主机也动态更新,将产生无法忍受的通信量,所以主机使用静态路由选择,一般情况下,开始时主机只知道默认路由地址,IP数据报将被发送到默认路由器,但也许此数据报应该被发到另外的路由器,默认路由器知道这种情况后,转发此数据报,并向源点发送改变路由ICMP,让主机刷新自己的路由表,主机的路由表通过这种方式进行更新说明:改变路由是唯一一个不会丢弃数据报的差错报告报文二、ICMP询问报文1、 回送请求和回答Echo or Echo Reply MessageType8 for echo message请求回显;0 for echo reply message回显应答.产生的原因：一般用于源主机或源路由器判断目的主机或目的路由器能否与其通信,主机和路由器都能发送此报文,此报文包括了回送请求报文和回送回答报文,ping命令便是此报文2、时间戳请求和回答Timestamp or Timestamp Reply MessageType13 for timestamp message时间戳请求;14 for timestamp reply message时间戳应答.产生的原因：包括时间戳请求报文和时间戳回答报文,它能够确定IP数据报在两台机器的往返时间,即使两个路由器本地时间不同步,但他们的往返时间仍然是精确的。

DNS（Domain Name System）是一种将域名和IP地址相互映射的系统，用于将易于记忆的域名转换为对应的IP地址，以便在互联网上进行数据通信。IGMP（Internet Group Management Protocol）是用于支持多播（Multicast）协议的一种网络协议，用于管理多播组的成员资格。IGMP协议可以告知路由器，主机加入或离开多播组，以便实现多播数据的正确传输。ARP（Address Resolution Protocol）是用于将IP地址转换为物理MAC地址的一种协议。在局域网中，主机之间通过MAC地址进行通信，而IP地址则是在互联网中使用的地址，ARP协议可以将主机的IP地址转换为相应的MAC地址，以便进行通信。RARP（Reverse Address Resolution Protocol）是ARP协议的一种扩展，它可以通过MAC地址查找相应的IP地址。RARP通常用于在磁盘上存储的计算机操作系统中，以便启动过程中查找自己的IP地址。ICMP（Internet Control Message Protocol）是一种用于在IP网络上传递控制消息的协议，用于报告错误、诊断问题和传递其他控制信息。例如，在网络通信中，如果发生数据包无法到达目标主机的情况，ICMP协议会发送错误消息给源主机，以便源主机可以根据错误信息进行问题的排查和处理。总之，DNS、IGMP、ARP、RARP和ICMP等协议是计算机网络中常用的协议，它们分别用于域名解析、多播管理、地址转换和控制消息传递等功能，是网络通信中不可或缺的基础组成部分。-------FunNet超有趣学网络