當(dāng)前位置：首頁(yè) > 文庫(kù) > 文案

icmp協(xié)議范文8篇

時(shí)間：2024-08-15 14:12:08 117

icmp協(xié)議

icmp協(xié)議篇1

要知道這其中的奧秘，我們有必要來(lái)看看ping命令的工作過(guò)程到底是怎么樣的。

假定主機(jī)a的ip地址是192.168.1.1，主機(jī)b的ip地址是192.168.1.2，都在同一子網(wǎng)內(nèi)，則當(dāng)你在主機(jī)a上運(yùn)行“ping 192.168.1.2”后，都發(fā)生了些什么呢?

首先，ping命令會(huì)構(gòu)建一個(gè)固定格式的icmp請(qǐng)求數(shù)據(jù)包，然后由icmp協(xié)議將這個(gè)數(shù)據(jù)包連同地址“192.168.1.2”一起交給ip層協(xié)議（和icmp一樣，實(shí)際上是一組后臺(tái)運(yùn)行的進(jìn)程），ip層協(xié)議將以地址“192.168.1.2”作為目的地址，本機(jī)ip地址作為源地址，加上一些其他的控制信息，構(gòu)建一個(gè)ip數(shù)據(jù)包，并在一個(gè)映射表中查找出ip地址192.168.1.2所對(duì)應(yīng)的物理地址（也叫mac地址，熟悉網(wǎng)卡配置的朋友不會(huì)陌生，這是數(shù)據(jù)鏈路層協(xié)議構(gòu)建數(shù)據(jù)鏈路層的傳輸單元??幀所必需的），一并交給數(shù)據(jù)鏈路層。后者構(gòu)建一個(gè)數(shù)據(jù)幀，目的地址是ip層傳過(guò)來(lái)的物理地址，源地址則是本機(jī)的物理地址，還要附加上一些控制信息，依據(jù)以太網(wǎng)的介質(zhì)訪(fǎng)問(wèn)規(guī)則，將它們傳送出去。

主機(jī)b收到這個(gè)數(shù)據(jù)幀后，先檢查它的目的地址，并和本機(jī)的物理地址對(duì)比，如符合，則接收；否則丟棄。接收后檢查該數(shù)據(jù)幀，將ip數(shù)據(jù)包從幀中提取出來(lái)，交給本機(jī)的ip層協(xié)議。同樣，ip層檢查后，將有用的信息提取后交給icmp協(xié)議，后者處理后，馬上構(gòu)建一個(gè)icmp應(yīng)答包，發(fā)送給主機(jī)a，其過(guò)程和主機(jī)a發(fā)送icmp請(qǐng)求包到主機(jī)b一模一樣。

從ping的工作過(guò)程，我們可以知道，主機(jī)a收到了主機(jī)b的一個(gè)應(yīng)答包，說(shuō)明兩臺(tái)主機(jī)之間的去、回通路均正常。也就是說(shuō)，無(wú)論從主機(jī)a到主機(jī)b，還是從主機(jī)b到主機(jī)a，都是正常的。那么，是什么原因引起只能單方向ping通的呢?

一、安裝了個(gè)人防火墻

在共享上網(wǎng)的機(jī)器中，出于安全考慮，大部分作為服務(wù)器的主機(jī)都安裝了個(gè)人防火墻軟件，而其他作為客戶(hù)機(jī)的機(jī)器則一般不安裝。幾乎所有的個(gè)人防火墻軟件，默認(rèn)情況下是不允許其他機(jī)器ping本機(jī)的。一般的做法是將來(lái)自外部的icmp請(qǐng)求報(bào)文濾掉，但它卻對(duì)本機(jī)出去的icmp請(qǐng)求報(bào)文，以及來(lái)自外部的icmp應(yīng)答報(bào)文不加任何限制。這樣，從本機(jī)ping其他機(jī)器時(shí)，如果網(wǎng)絡(luò)正常，就沒(méi)有問(wèn)題。但如果從其他機(jī)器ping這臺(tái)機(jī)器，即使網(wǎng)絡(luò)一切正常，也會(huì)出現(xiàn)“超時(shí)無(wú)應(yīng)答”的錯(cuò)誤。

大部分的單方向ping通現(xiàn)象源于此。解決的辦法也很簡(jiǎn)單，根據(jù)你自己所用的不同類(lèi)型的防火墻，調(diào)整相應(yīng)的設(shè)置即可。

二、錯(cuò)誤設(shè)置ip地址

正常情況下，一臺(tái)主機(jī)應(yīng)該有一個(gè)網(wǎng)卡，一個(gè)ip地址，或多個(gè)網(wǎng)卡，多個(gè)ip地址（這些地址一定要處于不同的ip子網(wǎng)）。但對(duì)于在公共場(chǎng)所使用的電腦，特別是網(wǎng)吧，人多手雜，其中不泛有“探索者”。曾有一次兩臺(tái)電腦也出現(xiàn)了這種單方向ping通的情況，經(jīng)過(guò)仔細(xì)檢查，發(fā)現(xiàn)其中一臺(tái)電腦的“撥號(hào)網(wǎng)絡(luò)適配器”（相當(dāng)于一塊軟網(wǎng)卡）的tcp/ip設(shè)置中，設(shè)置了一個(gè)與網(wǎng)卡ip地址處于同一子網(wǎng)的ip地址，這樣，在ip層協(xié)議看來(lái)，這臺(tái)主機(jī)就有兩個(gè)不同的接口處于同一網(wǎng)段內(nèi)。當(dāng)從這臺(tái)主機(jī)ping其他的機(jī)器時(shí)，會(huì)存在這樣的問(wèn)題：

（1）主機(jī)不知道將數(shù)據(jù)包發(fā)到哪個(gè)網(wǎng)絡(luò)接口，因?yàn)橛袃蓚€(gè)網(wǎng)絡(luò)接口都連接在同一網(wǎng)段；

icmp協(xié)議篇2

關(guān)鍵詞：黑客攻擊；網(wǎng)絡(luò)協(xié)議；ICMPIP

一、黑客基礎(chǔ)知識(shí)

不難想象，本文可選擇的攻擊類(lèi)型范圍很廣。我之所以選取本文所討論的幾種特定攻擊，是因?yàn)樗鼈儾恍枰嚓P(guān)于所涉及協(xié)議的知識(shí)，但仍然能有效地說(shuō)明了攻擊是如何執(zhí)行的、攻擊實(shí)際上是多么簡(jiǎn)單（一旦您知道了詳細(xì)信息）以及攻擊者所需的資源（計(jì)算和網(wǎng)絡(luò)）是多么有限。盡管不可能在本文中涵蓋關(guān)于黑客攻擊的整個(gè)主題，但我已盡可能簡(jiǎn)化基本原理，而仍然盡量多地提供必要信息，以便您理解所描述的攻擊。

二、攻擊的種類(lèi)。拒絕服務(wù)攻擊：通常，黑客瞄準(zhǔn)特定系統(tǒng)，闖入系統(tǒng)以便將其用于特定用途。那些系統(tǒng)的主機(jī)安全性經(jīng)常會(huì)阻止攻擊者獲得對(duì)主機(jī)的控制權(quán)。但進(jìn)行拒絕服務(wù)攻擊時(shí)，攻擊者不必獲得對(duì)系統(tǒng)的控制權(quán)。其目標(biāo)只是使系統(tǒng)或網(wǎng)絡(luò)過(guò)載，這樣它們就無(wú)法繼續(xù)提供服務(wù)了。拒絕服務(wù)攻擊可以有不同的目標(biāo)，包括帶寬消耗（bandwidth consumption）和資源缺乏（resource starvation）。

三、分析選定的網(wǎng)絡(luò)攻擊

（一）協(xié)議

本段討論了針對(duì)網(wǎng)際控制報(bào)文協(xié)議（ICMP）和傳輸控制協(xié)議（TCP）上的攻擊，這兩個(gè)協(xié)議都屬于網(wǎng)際協(xié)議（IP）系列。在深入研究關(guān)于這些協(xié)議的詳細(xì)信息之前，我打算先在適合于這些協(xié)議的環(huán)境中討論它們。

網(wǎng)際控制報(bào)文協(xié)議（ICMP）是IP的組成部分，但它使用某些IP服務(wù)。ICMP提供服務(wù)，使主機(jī)能夠彼此交流控制信息。ICMP由IP和一些更高級(jí)別的協(xié)議使用，如傳輸控制協(xié)議（TCP）。

傳輸控制協(xié)議（TCP）是本文中討論的第三個(gè)重要協(xié)議。TCP的功能比IP更進(jìn)一步，并提供兩個(gè)重要特性：連接和服務(wù)質(zhì)量。這意味著您可以在兩臺(tái)主機(jī)之間開(kāi)一個(gè)虛擬通道，通過(guò)這個(gè)通道，使得所發(fā)送的包的順序及其實(shí)際傳遞都得到保障。

接下來(lái)更高的一級(jí)是應(yīng)用層協(xié)議，如Telnet和SMTP。它們都使用由TCP提供的服務(wù)。例如，當(dāng)您用Telnet連接到主機(jī)時(shí)，打開(kāi)一個(gè)連接，并且您希望所有輸入這個(gè)Telnet會(huì)話(huà)的數(shù)據(jù)都以正確的順序發(fā)送到接收主機(jī)。

（二）理解IP

因?yàn)镮P提供的是無(wú)連接、不可靠、最高效的（best-effort）數(shù)據(jù)報(bào)傳遞服務(wù)，所以IP的使用范圍多少受到了限制。但是，它提供兩個(gè)基本功能：尋址和分段。地址（在IP數(shù)據(jù)報(bào)頭中封裝為源和目的地地址）用來(lái)將數(shù)據(jù)報(bào)傳輸?shù)狡淠康牡兀@個(gè)過(guò)程稱(chēng)為路由。有兩種基本情況：

接收主機(jī)和發(fā)送主機(jī)位于同一子網(wǎng)，這種情況下數(shù)據(jù)報(bào)將被直接從發(fā)送方發(fā)送到接收方。

接收主機(jī)位于不同的子網(wǎng)，這種情況下發(fā)送主機(jī)將把數(shù)據(jù)報(bào)轉(zhuǎn)發(fā)到網(wǎng)關(guān)（連接兩個(gè)子網(wǎng)的IP主機(jī)），然后，如果目的地主機(jī)在一個(gè)與網(wǎng)關(guān)相連的子網(wǎng)中，則網(wǎng)關(guān)會(huì)嘗試將數(shù)據(jù)報(bào)傳遞到目的地主機(jī)。如果目的地主機(jī)不在與網(wǎng)關(guān)相連的子網(wǎng)中，網(wǎng)關(guān)將會(huì)把數(shù)據(jù)報(bào)轉(zhuǎn)發(fā)到另一個(gè)網(wǎng)關(guān)。這個(gè)過(guò)程將反復(fù)進(jìn)行，直到能夠?qū)?shù)據(jù)報(bào)傳遞到其目的地主機(jī)為止。

既然我已經(jīng)介紹了基礎(chǔ)知識(shí)，現(xiàn)在可以討論個(gè)別協(xié)議了。在以下幾節(jié)中，您將找到關(guān)于ICMP和TCP的更詳細(xì)的信息以及一些使用這些協(xié)議的有趣的攻擊。

（三）使用ICMP

超時(shí)消息：每個(gè)IP數(shù)據(jù)報(bào)頭中都包含一個(gè)字段―稱(chēng)為“生存時(shí)間字段”―它指出數(shù)據(jù)報(bào)在被丟棄之前還能在因特網(wǎng)上保持多久。數(shù)據(jù)報(bào)在因特網(wǎng)上保持的時(shí)間以跳躍點(diǎn)（hop）衡量，其中一個(gè)跳躍點(diǎn)表示數(shù)據(jù)報(bào)通向目的地節(jié)點(diǎn)路徑上的一個(gè)網(wǎng)關(guān)。當(dāng)數(shù)據(jù)報(bào)經(jīng)過(guò)網(wǎng)關(guān)轉(zhuǎn)發(fā)時(shí)，它就將生存時(shí)間字段中的值減一。如果處理數(shù)據(jù)報(bào)的網(wǎng)關(guān)測(cè)定該數(shù)據(jù)報(bào)IP頭中的生存時(shí)間字段為0，則丟棄該數(shù)據(jù)報(bào)并用超時(shí)消息通知源主機(jī)。

回應(yīng)請(qǐng)求和回應(yīng)應(yīng)答消息：如果主機(jī)A想知道主機(jī)B是否是活動(dòng)的，則主機(jī)A會(huì)向主機(jī)B發(fā)送一條ICMP回應(yīng)請(qǐng)求消息。主機(jī)B將用ICMP回應(yīng)應(yīng)答消息來(lái)應(yīng)答，以表明自己是活動(dòng)的。這條消息就是眾所周知的ping包。

以上這些并不是ICMP所使用的全部消息類(lèi)型，但它們能使您大致了解ICMP的用途。接下來(lái)我將向您介紹兩種ICMP攻擊。

目的地不可到達(dá)攻擊

類(lèi)別：拒絕服務(wù)攻擊

描述：如上所述，ICMP目的地不可到達(dá)消息向嘗試轉(zhuǎn)發(fā)消息的網(wǎng)關(guān)提供了一種工具，用來(lái)通知發(fā)送方：因?yàn)樵跀?shù)據(jù)報(bào)目的地地址中指定的主機(jī)不可到達(dá)，所以無(wú)法傳遞該消息。

如果入侵者獲得了網(wǎng)絡(luò)10.1.0.0中一臺(tái)主機(jī)的訪(fǎng)問(wèn)權(quán)，那么，他可以廣播一條“目的地不可到達(dá)消息”，聲明網(wǎng)關(guān)G對(duì)于他所在網(wǎng)絡(luò)的所有主機(jī)是不可到達(dá)的。這將使網(wǎng)關(guān)G和網(wǎng)絡(luò)10.2.0.0暫時(shí)變得不可用，因而不可能從網(wǎng)絡(luò)10.1.0.0向網(wǎng)絡(luò)10.2.0.0傳輸任何消息。

這種攻擊背后的動(dòng)機(jī)只是使網(wǎng)絡(luò)或服務(wù)暫時(shí)癱瘓。因?yàn)楣粽卟恍枰δ軓?qiáng)大的機(jī)器或高速的網(wǎng)絡(luò)連接來(lái)執(zhí)行這種攻擊，所以它特別危險(xiǎn)。

（四）Smurf攻擊

類(lèi)別：拒絕服務(wù)攻擊

描述：Smurf攻擊是拒絕服務(wù)攻擊的一種非常可怕的形式，因?yàn)樗哂蟹糯笮?yīng)。Smurf攻擊利用ICMP回應(yīng)消息。如上所述，主機(jī)A每次向主機(jī)B發(fā)送回應(yīng)請(qǐng)求消息時(shí)，主機(jī)B都會(huì)返回回應(yīng)應(yīng)答消息以表明自己是活動(dòng)的。名稱(chēng)“Smurf攻擊”源自一個(gè)名為smurf的利用程序，攻擊者用該程序來(lái)執(zhí)行這種攻擊。

（五）傳輸控制協(xié)議（TCP）

在繼續(xù)討論攻擊之前，我將更詳細(xì)地討論TCP的某些方面，這些知識(shí)對(duì)于下面討論的攻擊是必需的。尤其是TCP包（稱(chēng)為段）的結(jié)構(gòu)、如何在主機(jī)之間建立TCP連接和如何關(guān)閉連接。

（六）TCP包的結(jié)構(gòu)

與IP數(shù)據(jù)報(bào)類(lèi)似，TCP段包含頭部分、可選（選項(xiàng)）部分和數(shù)據(jù)部分。現(xiàn)在，讓我們更仔細(xì)地研究一下TCP頭的某些重要字段：

源端口：分配給啟動(dòng)連接的主機(jī)上虛連接的端口號(hào)。

目的地端口：目的地端口號(hào)。這也由啟動(dòng)連接的主機(jī)分配，因?yàn)橹挥性撝鳈C(jī)知道自己“想”連接到哪里。例如，如果您打開(kāi)到特定主機(jī)的Telnet連接，則目的地端口將被設(shè)置為23。

序列號(hào)和確認(rèn)號(hào)：發(fā)送方和接收方使用兩個(gè)序列號(hào)來(lái)確保包沒(méi)有丟失、沒(méi)有重復(fù)以及可以在目的地節(jié)點(diǎn)以正確順序重新組裝。

標(biāo)志：這個(gè)字段包含六個(gè)控制位：

URG：向接收方表明一接收完數(shù)據(jù)就進(jìn)行緊急處理。

ACK：表明確認(rèn)號(hào)字段是有意義的。

PSH：表明必須迅速地將數(shù)據(jù)傳遞到接收方。

RST：表明要立即復(fù)位連接。

SYN：在需要同步序列號(hào)的情況下設(shè)置。

FIN：表明不會(huì)再有來(lái)自發(fā)送方的數(shù)據(jù)了（也就是說(shuō)，連接將要關(guān)閉）。

以上是TCP頭中的重要字段，下面關(guān)于TCP連接的建立和關(guān)閉的幾節(jié)將使您更好地理解這些字段的用途。

建立和關(guān)閉TCP連接。

icmp協(xié)議篇3

關(guān)鍵詞遠(yuǎn)程O(píng)S探測(cè) 協(xié)議棧指紋 TCP/IP協(xié)議

1 引言

探測(cè)和識(shí)別一個(gè)計(jì)算機(jī)系統(tǒng)在運(yùn)行什么OS是黑客入侵的重要步驟。如果不知道目標(biāo)系統(tǒng)在運(yùn)行什么OS，就很難在目標(biāo)系統(tǒng)上執(zhí)行操作，也無(wú)法判斷是否存在安全漏洞，更談不上攻擊。

從管理和防范的角度來(lái)說(shuō)，如果能減少被探測(cè)時(shí)泄漏的信息，就減少了黑客入侵行為的信息來(lái)源，使其入侵行為變得相當(dāng)困難。因此，研究這方面的技術(shù)，對(duì)于提高系統(tǒng)的安全性和抵抗入侵的能力具有重要的意義。

2 簡(jiǎn)單的OS探測(cè)技術(shù)

在早期，黑客經(jīng)常采用一些簡(jiǎn)單的探測(cè)方法來(lái)獲取目標(biāo)系統(tǒng)的信息。如通過(guò)telnet標(biāo)題，ftp的標(biāo)題和STAT命令，通過(guò)HTTP服務(wù)程序，DNS ，SNMP等都可以得到很多有用信息。

但是，在長(zhǎng)期的入侵和防入侵的斗爭(zhēng)中，通過(guò)簡(jiǎn)單的手段即可獲得的信息越來(lái)越少了。管理員努力地減少通過(guò)網(wǎng)絡(luò)泄漏的信息，有時(shí)還修改OS的代碼，給出虛假的信息。在這種情況下，簡(jiǎn)單的方法已經(jīng)很難奏效了,因此出現(xiàn)了通過(guò)網(wǎng)絡(luò)協(xié)議棧指紋來(lái)識(shí)別OS的技術(shù)。

3 網(wǎng)絡(luò)協(xié)議棧指紋原理

常用的網(wǎng)絡(luò)協(xié)議是標(biāo)準(zhǔn)的，因而從理論上講各個(gè)操作系統(tǒng)的協(xié)議棧應(yīng)該是相同的。但是，在實(shí)踐中，各種操作系統(tǒng)的協(xié)議棧的實(shí)現(xiàn)存在細(xì)微的差異。這些差異稱(chēng)作網(wǎng)絡(luò)協(xié)議棧的“指紋”。

對(duì)TCP協(xié)議族來(lái)說(shuō)，這些差異通常表現(xiàn)在數(shù)據(jù)包頭的標(biāo)志字段中。如window size、ACK序號(hào)、TTL等的不同取值。通過(guò)對(duì)這些差別進(jìn)行歸納和總結(jié)，可以比較準(zhǔn)確地識(shí)別出遠(yuǎn)程系統(tǒng)的OS類(lèi)型。

由于Internet廣泛使用TCP/IP協(xié)議族，因此下面的討論主要圍繞TCP/IP來(lái)進(jìn)行。

4 網(wǎng)絡(luò)協(xié)議棧指紋構(gòu)成

下面列出了不同OS的網(wǎng)絡(luò)協(xié)議棧的差異，這些差異可作為協(xié)議棧指紋識(shí)別的依據(jù)。

1) TTL

TTL：Time To Live，即數(shù)據(jù)包的“存活時(shí)間”，表示一個(gè)數(shù)據(jù)包在被丟棄之前可以通過(guò)多少躍點(diǎn)(Hop)。不同操作系統(tǒng)的缺省TTL值往往是不同的。

常見(jiàn)操作系統(tǒng)的TTL值：

Windows 9x/NT/2000 Intel 128

Digital Unix 4.0 Alpha 60

Linux 2.2.x Intel 64

Netware 4.11 Intel 128

AIX 4.3.x IBM/RS6000 60

Cisco 12.0 2514 255

Solaris 8 Intel/Sparc 64

…

2) DF位

DF（不分段）位識(shí)別：不同OS對(duì)DF位有不同的處理方式，有些OS設(shè)置DF位，有些不設(shè)置DF位；還有一些OS在特定場(chǎng)合設(shè)置DF位，在其它場(chǎng)合不設(shè)置DF位。

3) Window Size

Window Size：TCP接收（發(fā)送）窗口大小。它決定了接收信息的機(jī)器在收到多少數(shù)據(jù)包后發(fā)送ACK包。

特定操作系統(tǒng)的缺省Window Size基本是常數(shù)，例如，AIX 用0x3F25，Windows、OpenBSD 、FreeBSD用0x402E。

一般地，UNIX的Window Size較大。MSWindows，路由器，交換機(jī)等的較小。

4) ACK 序號(hào)

不同的OS處理ACK序號(hào)時(shí)是不同的。如果發(fā)送一個(gè)FIN|PSH|URG的數(shù)據(jù)包到一個(gè)關(guān)閉的TCP 端口，大多數(shù)OS會(huì)把回應(yīng)ACK包的序號(hào)設(shè)置為發(fā)送的包的初始序號(hào)，而Windows 和一些打印機(jī)則會(huì)發(fā)送序號(hào)為初始序號(hào)加1的ACK包。

5) ICMP地址屏蔽請(qǐng)求

對(duì)于ICMP地址屏蔽請(qǐng)求，有些OS會(huì)產(chǎn)生相應(yīng)的應(yīng)答，有些則不會(huì)。會(huì)產(chǎn)生應(yīng)答的系統(tǒng)有OpenVMS, MSWindows, SUN Solaris等。在這些產(chǎn)生應(yīng)答的系統(tǒng)中，對(duì)分片ICMP地址屏蔽請(qǐng)求的應(yīng)答又存在差別，可以做進(jìn)一步的區(qū)分。

6) 對(duì)FIN包的響應(yīng)

發(fā)送一個(gè)只有FIN標(biāo)志位的TCP數(shù)據(jù)包給一個(gè)打開(kāi)的端口，Linux等系統(tǒng)不響應(yīng)；有些系統(tǒng)，例如 MS Windows, CISCO, HP/UX等，發(fā)回一個(gè)RESET。

7) 虛假標(biāo)記的SYN包

在SYN包的TCP頭里設(shè)置一個(gè)未定義的TCP 標(biāo)記，目標(biāo)系統(tǒng)在響應(yīng)時(shí)，有的會(huì)保持這個(gè)標(biāo)記，有的不保持。還有一些系統(tǒng)在收到這樣的包的時(shí)候會(huì)復(fù)位連接。

8) ISN (初始化序列號(hào))

不同的OS在選擇TCP ISN時(shí)采用不同的方法。一些UNIX系統(tǒng)采用傳統(tǒng)的64K遞增方法，較新的Solaris,IRIX,FreeBSD,Digital Unix,Cray等系統(tǒng)采用隨機(jī)增量的方法；Linux 2.0,OpenVMS, AIX等系統(tǒng)采用真隨機(jī)方法。Windows系統(tǒng)采用一種時(shí)間相關(guān)的模型。還有一些系統(tǒng)使用常數(shù)。如，3Com集線(xiàn)器使用0x803，Apple LaserWriter打印機(jī)使用0xC7001。

9) ICMP 錯(cuò)誤信息

在發(fā)送ICMP錯(cuò)誤信息時(shí)，不同的OS有不同的行為。RFC 1812建議限制各種錯(cuò)誤信息的發(fā)送率。有的OS做了限制，而有的沒(méi)做。

10) ICMP 消息引用

RFC 規(guī)定ICMP錯(cuò)誤消息可以引用一部分引起錯(cuò)誤的源消息。

在處理端口不可達(dá)消息時(shí)，大多數(shù)OS送回IP請(qǐng)求頭外加8 字節(jié)。Solaris 送回的稍多，Linux 更多。

有些OS會(huì)把引起錯(cuò)誤消息的頭做一些改動(dòng)再發(fā)回來(lái)。例如，F(xiàn)reeBSD，OpenBSD，ULTRIX，VAXen等會(huì)改變頭的ID 。

這種方法功能很強(qiáng)，甚至可以在目標(biāo)主機(jī)沒(méi)有打開(kāi)任何監(jiān)聽(tīng)端口的情況下就識(shí)別出Linux和Solaris 。

11) TOS(服務(wù)類(lèi)型)

對(duì)于ICMP端口不可達(dá)消息，送回包的服務(wù)類(lèi)型(TOS)值也是有差別的。大多數(shù)OS是0，而Linux 是0xc0。

12) 分段重組處理

icmp協(xié)議篇4

【關(guān)鍵詞】蜜罐；指紋匹配；相關(guān)函數(shù)

1 Honeyd軟件介紹

Honeyd是由Niels Provos創(chuàng)建的一種具有開(kāi)放源代碼的輕型低交互級(jí)別的蜜罐，除了具有蜜罐的共性――引誘攻擊者的攻擊外，它自身的設(shè)計(jì)特點(diǎn)不但可以使Honeyd更有效的完成任務(wù)，還能開(kāi)發(fā)出許多新的應(yīng)用出來(lái)。它可以同時(shí)模仿400多種不同的操作系統(tǒng)和上千種不同的計(jì)算機(jī)。

Honeyd有如下特點(diǎn)：

第一，Honeyd可以同時(shí)模仿上百甚至上千個(gè)不同的計(jì)算機(jī)，大部分蜜罐在同一時(shí)間僅可以模仿一臺(tái)計(jì)算機(jī)，而Honeyd可以同時(shí)呈現(xiàn)上千個(gè)不同的IP地址。

第二，可以通過(guò)簡(jiǎn)單的配置文件對(duì)服務(wù)進(jìn)行任意配置，可以對(duì)虛擬的主機(jī)進(jìn)行ping操作或者進(jìn)行traceroute，Honeyd可以根據(jù)簡(jiǎn)單的配置文件對(duì)虛擬主機(jī)的任何服務(wù)進(jìn)行任意的配置，它甚至可以作為其他主機(jī)的。

第三，可以在TCP/IP層模仿操作系統(tǒng)，這就意味著如果有人闖入用戶(hù)的蜜罐時(shí)，服務(wù)和TCP/IP都會(huì)模擬操作系統(tǒng)做出各種響應(yīng)。當(dāng)前，還沒(méi)有任何其他的蜜罐具有這種功能，可以完成的工作包括虛擬nmap和xprobe，調(diào)節(jié)分配重組策略以及調(diào)節(jié)FIN掃描策略。

第四，可以模擬任何路由拓?fù)浣Y(jié)構(gòu)，可以配置等待時(shí)間和丟包率。

第五，作為一種開(kāi)放源代碼的工具，Honeyd可以免費(fèi)使用，同時(shí)也迅速成為了很多安全組織的開(kāi)發(fā)源代碼的一部分。

2 Honeyd邏輯結(jié)構(gòu)

Honeyd結(jié)構(gòu)由以下幾個(gè)部件組成：配置數(shù)據(jù)庫(kù)，中心數(shù)據(jù)包分配器，協(xié)議管理器，服務(wù)處理單元，特征引擎，可選的路由器部分。Honeyd的邏輯結(jié)構(gòu)如圖1所示：

圖1 Honeyd的邏輯結(jié)構(gòu)

各部分的功能分別為：

路由器：路由數(shù)據(jù)包到達(dá)某個(gè)虛擬蜜罐所在的地址，會(huì)產(chǎn)生三種情況：沒(méi)有找到目的地址而丟棄數(shù)據(jù)包；沒(méi)有找到目的地址，但是可以把數(shù)據(jù)包交付給下一個(gè)路由器；可以直接把數(shù)據(jù)包交付給目的地址。路由是一個(gè)可選擇的邏輯部件。

數(shù)據(jù)包分配器：該邏輯部件核查IP數(shù)據(jù)包的長(zhǎng)度，對(duì)IP數(shù)據(jù)包進(jìn)行正確性檢查，核實(shí)確認(rèn)序列號(hào)。分配器只對(duì)協(xié)議管理器分配三種數(shù)據(jù)包：ICMP、UDP、TCP。其他協(xié)議的數(shù)據(jù)包會(huì)被丟棄并且不做任何記錄。

協(xié)議管理器：它包括ICMP/UDP/TCP協(xié)議管理和服務(wù)處理單元。ICMP協(xié)議管理支持ICMP請(qǐng)求。默認(rèn)的，所有的蜜罐配置都響應(yīng)回射請(qǐng)求和處理目標(biāo)主機(jī)不可達(dá)信息；TCP和UDP協(xié)議管理器和服務(wù)處理單元能夠?qū)ν饨⑻囟ǚ?wù)的連接。服務(wù)的行為完全依賴(lài)于外部應(yīng)用。TCP協(xié)議管理器能夠很好的支持三次握手的建立和FIN或RST的拆卸，但是還不能很好地支持窗口管理和擁塞控制。

特征引擎：將對(duì)發(fā)送的所有數(shù)據(jù)包進(jìn)行指紋匹配，以便在指紋識(shí)別工具前能很好地隱蔽。

配置數(shù)據(jù)庫(kù)：它當(dāng)中包含了一切配置參數(shù)，例如虛擬蜜罐的IP地址、默認(rèn)的ICMP響應(yīng)，虛擬鏈路的網(wǎng)絡(luò)屬性，指紋數(shù)據(jù)等。

3 關(guān)鍵技術(shù)

Honeyd能夠虛擬蜜罐，并且能夠利用這些虛擬的蜜罐構(gòu)建松散的虛擬蜜罐網(wǎng)絡(luò)或有層次結(jié)構(gòu)的虛擬蜜罐網(wǎng)絡(luò)，這些虛擬的蜜罐網(wǎng)絡(luò)中甚至可以包含真實(shí)的主機(jī)。然而Honeyd要構(gòu)建虛擬的蜜罐網(wǎng)絡(luò)需要面對(duì)這樣一些問(wèn)題：首先是攻擊者利用指紋工具對(duì)連接的蜜罐進(jìn)行識(shí)別時(shí)該怎么辦；其次，虛擬出的蜜罐網(wǎng)絡(luò)如果面對(duì)網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)工具時(shí)怎么辦。

Honeyd采用了兩種關(guān)鍵的技術(shù)來(lái)欺騙攻擊者，一種是指紋匹配技術(shù)，另一種是虛擬蜜罐網(wǎng)絡(luò)技術(shù)。

4 指紋匹配

為了在被探測(cè)的時(shí)候表現(xiàn)得跟真實(shí)的系統(tǒng)一樣，虛擬蜜罐要模擬給定操作系統(tǒng)的網(wǎng)絡(luò)棧行為，這是虛擬蜜罐的一部分特征。不同的特征能被設(shè)計(jì)成不同的虛擬蜜罐。特征引擎通過(guò)改變協(xié)議數(shù)據(jù)包頭部來(lái)匹配特定的操作系統(tǒng)，從而表現(xiàn)出相應(yīng)的網(wǎng)絡(luò)協(xié)議棧行為，這一過(guò)程成為指紋匹配。

Honeyd運(yùn)用NMAP的指紋數(shù)據(jù)庫(kù)作為T(mén)CP和UDP行為特征的的參考；用XPROBE指紋數(shù)據(jù)庫(kù)作為ICMP行為的參考。

下面用NMAP提供的指紋信息來(lái)改變蜜罐網(wǎng)絡(luò)棧的特征為例來(lái)進(jìn)行說(shuō)明：

Fingerprint IRIX 6.5.15m on SGI 02

Tseq（Class=TD%gcd=

T1（DF=N%W=EF2A%ACK=S++%Flags=AS%Ops=MNWNNTNNM）

T2（Resp=Y%DF=N%W=O%ACK=S%Flags=AR%Ops=）

T3（Resp=Y%DF=N%W=EF2A%ACK=O%Flags=A%Ops=NNT）

T4（DF=N%W=O%ACK=O%FlagsR%Ops=）

T5（DF=N%W=O%ACK=S++%Flags=AR%Ops=）

T6（DF=N%W=O%ACK=O%Flags=R%Ops=）

T7（DFN%W=O%ACK=S%Flags=R%Ops=）

PU（Resp=n）

T1測(cè)試設(shè)置了SYN和ECE TCP flags；T5測(cè)試僅設(shè)置了SYN TCP flags。后面7個(gè)測(cè)試決定了數(shù)據(jù)包到達(dá)開(kāi)放的或關(guān)閉的端口的網(wǎng)絡(luò)棧行為。最后一個(gè)分析ICMP對(duì)關(guān)閉的UDP端口的響應(yīng)。

Honeyd保持每一個(gè)蜜罐的可靠性。包括產(chǎn)生ISN信息可靠性，蜜罐的初始化時(shí)間，當(dāng)前IP數(shù)據(jù)包的確認(rèn)號(hào)的可靠性。保持狀態(tài)有利于我們?cè)谥讣y修改后發(fā)送的數(shù)據(jù)包產(chǎn)生后續(xù)的ISN。

滑動(dòng)窗口在不同的環(huán)境下表現(xiàn)出來(lái)的大小同樣也會(huì)成為攻擊者進(jìn)行識(shí)別的一部分。當(dāng)Honeyd為一個(gè)新建的連接發(fā)送一個(gè)數(shù)據(jù)包時(shí)，它會(huì)用NMAP指紋去檢測(cè)內(nèi)部窗口的大小，在一個(gè)連接建立好以后，Honeyd框架將根據(jù)緩沖區(qū)中數(shù)據(jù)的多少調(diào)整窗口的大小。

5 指紋匹配相關(guān)函數(shù)

Honeyd邏輯上的特征引擎是由相關(guān)的函數(shù)參考配置數(shù)據(jù)庫(kù)中的參數(shù)，然后分別對(duì)各自的數(shù)據(jù)包進(jìn)行指紋處理得到的。這些被處理的數(shù)據(jù)包主要由TCP數(shù)據(jù)包、UDP數(shù)據(jù)包和ICMP數(shù)據(jù)包。其中tcp _send（），tcp_personality（）負(fù)責(zé)處理TCP數(shù)據(jù)包的指紋；udp_send（）負(fù)責(zé)處理UDP數(shù)據(jù)包的指紋；icmp_send（）數(shù)據(jù)包負(fù)責(zé)處理ICMP數(shù)據(jù)包的指紋。下面我們重點(diǎn)介紹處理TCP數(shù)據(jù)包的函數(shù)。

tcp_send（）負(fù)責(zé)發(fā)送基于tcp協(xié)議的數(shù)據(jù)包，重要的是，它對(duì)即將發(fā)送的數(shù)據(jù)包進(jìn)行改動(dòng)，修改報(bào)頭，使得看上去和對(duì)應(yīng)的操作系統(tǒng)的特征準(zhǔn)確地吻合，以達(dá)到欺騙的效果。因而此函數(shù)只是在通過(guò)查詢(xún)特征庫(kù)后，得到返回的id（ip報(bào)頭的標(biāo)識(shí)字段的值），調(diào)整其他參數(shù)，封裝成ip包發(fā)送。

udp_send（）函數(shù)負(fù)責(zé)發(fā)送基于udp協(xié)議的數(shù)據(jù)包，如同上面的一樣，發(fā)送前，必須參考特征庫(kù)，修改得當(dāng)?shù)膱?bào)頭。

icmp協(xié)議篇5

關(guān)鍵詞：ICMP；TCP；UDP；路由追蹤

中圖分類(lèi)號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)18-2pppp-0c

1 背景

網(wǎng)路故障的一般表現(xiàn)是網(wǎng)速變慢或者無(wú)法訪(fǎng)問(wèn)互聯(lián)網(wǎng)或內(nèi)網(wǎng)服務(wù)器，在現(xiàn)場(chǎng)進(jìn)行網(wǎng)絡(luò)故障診斷時(shí)，往往需要借助各種工具軟件如Sniffer、ping、traceroute等進(jìn)行逐步排查，最后經(jīng)過(guò)分析，選擇懷疑的網(wǎng)絡(luò)節(jié)點(diǎn)，然后在局端或現(xiàn)場(chǎng)對(duì)懷疑的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行各種連通性、替代性測(cè)試，方法步驟繁雜，而且往往無(wú)法準(zhǔn)確診斷。

經(jīng)過(guò)分析，故障診斷的過(guò)程，可以使用專(zhuān)用的設(shè)備，并編寫(xiě)相應(yīng)的診斷程序，自動(dòng)完成網(wǎng)絡(luò)故障節(jié)點(diǎn)的測(cè)試和判斷。

2 算法和設(shè)計(jì)

當(dāng)測(cè)試節(jié)點(diǎn)到達(dá)目的網(wǎng)絡(luò)位置的鏈路存在問(wèn)題時(shí)，一般可能是：物理鏈路斷開(kāi)（線(xiàn)纜或節(jié)點(diǎn)設(shè)備故障）；目的地址的相應(yīng)端口沒(méi)有開(kāi)放，或者中間鏈路經(jīng)過(guò)的設(shè)備（交換機(jī)，路由器等）禁止了協(xié)議或端口；終端設(shè)備故障。故，處理流程首先是找到測(cè)試節(jié)點(diǎn)到達(dá)連接服務(wù)器節(jié)點(diǎn)的路徑，確定經(jīng)過(guò)的網(wǎng)絡(luò)節(jié)點(diǎn)位置，然后對(duì)節(jié)點(diǎn)中的各個(gè)位置實(shí)施連通性測(cè)試，最后根據(jù)測(cè)試結(jié)果判斷故障節(jié)點(diǎn)位置和原因。

2.1 網(wǎng)絡(luò)路由的查詢(xún)

該部分的功能類(lèi)似于Linux系統(tǒng)中提供的命令traceroute，不同的是，該部分功能進(jìn)行路由診斷依賴(lài)的協(xié)議不僅僅是ICMP。

ICMP的原理是鏈路上的節(jié)點(diǎn)設(shè)備都要在轉(zhuǎn)發(fā)該 ICMP 回顯請(qǐng)求報(bào)文之前將報(bào)文頭部的 TTL 值減 1，當(dāng)報(bào)文的 TTL 值減少到 0 時(shí)，節(jié)點(diǎn)設(shè)備向源發(fā)回 ICMP 超時(shí)信息。該診斷實(shí)用程序通過(guò)向目的地發(fā)送具有不同生存時(shí)間 (TTL) 的 ICMP報(bào)文，確定至目的地的路由。通過(guò)發(fā)送 TTL 為 1 的第一個(gè)回顯報(bào)文并且在隨后的發(fā)送中每次將 TTL 值加 1，直到目標(biāo)響應(yīng)或達(dá)到最大 TTL 值，可以確定鏈路經(jīng)過(guò)的路由。通過(guò)檢查鏈路中間節(jié)點(diǎn)設(shè)備發(fā)回的 ICMP 超時(shí)信息，可以確定故障節(jié)點(diǎn)。

如果使用ICMP協(xié)議無(wú)法完成測(cè)試，則改為使用UDP協(xié)議和TCP協(xié)議分別進(jìn)行路由偵測(cè)。源發(fā)出UDP數(shù)據(jù)包，源端口使用隨機(jī)的大于32768的高段端口號(hào)，目的端口從33434開(kāi)始依此遞增，直至33434+29，同時(shí)TTL從1開(kāi)始依此遞增，直至1+29=30。節(jié)點(diǎn)設(shè)備送回的 ICMP超時(shí)報(bào)文，使得源可以偵測(cè)到鏈路上每一個(gè)節(jié)點(diǎn)。

2.2 網(wǎng)絡(luò)節(jié)點(diǎn)診斷

向節(jié)點(diǎn)發(fā)送TCP握手信號(hào)，如果該節(jié)點(diǎn)可以通過(guò)connect連接成功，表示節(jié)點(diǎn)可以正常連接，如果回應(yīng)RST，表示該節(jié)點(diǎn)禁止了該端口的訪(fǎng)問(wèn)，如果該節(jié)點(diǎn)長(zhǎng)時(shí)間不回復(fù)SYN，也可以認(rèn)為該節(jié)點(diǎn)禁止端口。

因此，依據(jù)上述現(xiàn)象可以很容易判斷當(dāng)前故障節(jié)點(diǎn)――離測(cè)試者最近的故障點(diǎn)，可以被認(rèn)定為當(dāng)前網(wǎng)絡(luò)故障點(diǎn)。

2.3 故障節(jié)點(diǎn)位置的判斷策略

如果路由尋找完整，一般能夠找到節(jié)點(diǎn)。在所有不回應(yīng)SYN包或者回應(yīng)RST包的

節(jié)點(diǎn)中，應(yīng)該是離源最近跳數(shù)的節(jié)點(diǎn)設(shè)備將端口關(guān)閉。

如果路由尋找不完整，有可能找不到所找的故障點(diǎn)。如果在找到的n個(gè)節(jié)點(diǎn)中，只有非最遠(yuǎn)離源的一個(gè)節(jié)點(diǎn)不回應(yīng)，或回應(yīng)RST包，則不能確定故障節(jié)點(diǎn)；如果是包括最遠(yuǎn)離源在內(nèi)的一個(gè)或多個(gè)節(jié)點(diǎn)不回應(yīng)或回應(yīng)RST包，則最右端節(jié)點(diǎn)可能為故障節(jié)點(diǎn)，但并不能確定在整個(gè)路由中的故障節(jié)點(diǎn)所在，因?yàn)槁酚刹煌暾?span style="display:none">yRS萬(wàn)博士范文網(wǎng)-您身邊的范文參考網(wǎng)站Vanbs.com

2.4 不能覆蓋的異常情況

如果使用ICMP和UDP都無(wú)法尋找到完整路由，則有可能找不到故障節(jié)點(diǎn)，但這種情況非常少，因?yàn)楦鶕?jù)UDP的測(cè)試原理，除非中間節(jié)點(diǎn)將大于32768的端口全部封掉，否則都可以得到完整的路由路徑。

3 代碼片段和程序流程

3.1 整體框架代碼

int f_procon_scan_showerr(char *re_info)

{char err_node[16];

inet_ntoa_b(info_scan.node[info_scan.err_num],err_node);

if(err_tcpscan == ERR_PORTSCAN_ROUTE_HALF){

sprintf(re_info,"路由信息不完整，故障點(diǎn)可能是：%s",err_node);

}else if(err_tcpscan == ERR_PORTSCAN_ROUTE_NO){

sprintf(re_info,"未找到達(dá)到目的地址的路徑，無(wú)法診斷故障");

}else{

sprintf(re_info,"路由信息完整，故障點(diǎn)是：%s",err_node);

}

return OK;

}

static int quitflag=0;

int f_procon_scan_tcp(void)

{char * re_info; /* 測(cè)試完后返回的信息 */

int re_find;

int i,rv;

char buf[512];

int numBytes,count;

int on,len;

int ctrlSock;

struct sockaddr_in ctrlAddr;

struct router_node bak_router_node;

sprintf(buf,"正在使用ICMP獲取路由信息...");

server_virtual_display_output(buf,0);

bzero((char *)&info_scan,sizeof(info_scan));

re_find = find_node(0);/*使用ICMP協(xié)議*/

if(info_scan.number == 0){/* 沒(méi)有正確找到到目的地址的路由信息,嘗試使用udp協(xié)議查找*/

sprintf(buf,"正在使用UDP獲取路由信息...");

server_virtual_display_output(buf,0);

bzero((char *)&info_scan,sizeof(info_scan));

re_find = find_node(1);/*使用UDP協(xié)議*/

if(info_scan.number == 0){

err_tcpscan = ERR_PORTSCAN_ROUTE_NO;

return OK;

}

}else if(re_find == ERROR){/*獲取不完整路徑，嘗試用udp獲取*/

sprintf(buf,"正在使用UDP獲取路由信息...");

server_virtual_display_output(buf,0);

memcpy(&bak_router_node,&info_scan,sizeof(info_scan));

bzero((char *)&info_scan,sizeof(info_scan));

re_find = find_node(1);/*使用UDP協(xié)議*/

if(info_scan.number == 0){/*udp沒(méi)有獲取到路徑，則恢復(fù)icmp的路徑*/

memcpy(&info_scan,&bak_router_node,sizeof(bak_router_node));

re_find=ERROR;

}else if(re_find == ERROR){/*udp獲取的也是不完整路徑，則進(jìn)行比較，選最多的*/

if(info_scan.number

memcpy(&info_scan,&bak_router_node,sizeof(bak_router_node));

}

if(re_find == ERROR){

err_tcpscan = ERR_PORTSCAN_ROUTE_HALF;

}else{

err_tcpscan = ERR_PORTSCAN_ROUTE_OK;

}

quitflag=1;

info_scan.node[info_scan.number].s_addr=self_ip;

for(i=info_scan.number-1;i>=0;i--){

/*創(chuàng)建socket*/

ctrlSock = socket (AF_INET, SOCK_STREAM, 0);

if (ctrlSock < 0){

sprintf(buf,"無(wú)法創(chuàng)建socket");

server_virtual_display_output(buf,0);

return (ERROR);

}

/*設(shè)置socket為非阻塞模式*/

on=TRUE;

if(ioctl(ctrlSock,FIONBIO,(int)&on)

printf("set socket to no block is error/n");

}

ctrlAddr.sin_family= AF_INET;

ctrlAddr.sin_addr.s_addr = info_scan.node[i].s_addr;

ctrlAddr.sin_port= htons(s_procon_info.port);

if(connect(ctrlSock,(struct sockaddr *)&ctrlAddr, sizeof (ctrlAddr))< 0){

if(!((errno==EINPROGRESS) || (errno==EALREADY))){

shutdown(ctrlSock,2);

close(ctrlSock);

continue;

}

rv=server_wait_for_write_timeout(ctrlSock,&quitflag);

if(rv!=0){

shutdown(ctrlSock,2);

close(ctrlSock);

break;

}

shutdown(ctrlSock,2);

close(ctrlSock);

}

if(i

i=0;

}else if(i!=info_scan.number-1){/*不是最后一個(gè)不同，則認(rèn)為就是他了*/

i++;

}else if(err_tcpscan == ERR_PORTSCAN_ROUTE_OK){/*最后一個(gè)竟然也是通的，則認(rèn)為是服務(wù)器本身了*/

i++;

}

info_scan.err_num=i;

return OK;

}

3.2 查找路由節(jié)點(diǎn)函數(shù)

static int find_node(int flag)

{int dst_ip, gateway;

int i,num;

int result = OK;

S_TRACERT_INTERFACES info_tracert;

S_TRACERT_INTERS *intrs;

struct in_addr ip_tra;

dst_ip = s_procon_info.ip_remote.s_addr; /* tracert ip is test ip */

switch(s_netcon_info.mode){

case D_NETCON_MODE_STATIC_IP:

gateway = s_netcon_info.sta_ip.ip_router.s_addr;

self_ip = s_netcon_info.sta_ip.ip_local.s_addr;

break;

case D_NETCON_MODE_DHCPC:

gateway = s_netcon_info.dhcpc.ip_router[0].s_addr;

self_ip = s_netcon_info.dhcpc.ip_local.s_addr;

break;

case D_NETCON_MODE_PPPOEH:

gateway = s_netcon_info.pppoeh.ip_remote.s_addr;

self_ip = s_netcon_info.pppoeh.ip_local.s_addr;

break;

}

f_tracert_routine(dst_ip,gateway,flag); /* exec tracert for find node */

/* 如果tracert未結(jié)束，查看是否出現(xiàn)超時(shí)找不到路由情況，如果是，終止測(cè)試 */

/* 如果tracert停止，看是否追蹤到最終的路由 */

while(!v_tracert_end){

f_tracert_show((char *)&info_tracert); /* 取信息，判斷 */

for(i=0;i

intrs=&info_tracert.tracert_info[i];

ip_tra.s_addr = intrs->ip;

if(intrs->ip == 0){

info_tracert.number -= 1;

f_tracert_end();

result = ERROR;

}

taskDelay(sysClkRateGet()/2);

}

f_tracert_show((char *)&info_tracert);

info_scan.number = info_tracert.number;

/* save the node infomation to my struct */

for(i=0;i

intrs=&info_tracert.tracert_info[i];

info_scan.node[i].s_addr = intrs->ip;

}

num = info_scan.number - 1;

if(info_scan.node[num].s_addr == 0){

info_scan.number -= 1;

}

return result;

}

3.3 涉及到的數(shù)據(jù)結(jié)構(gòu)

保存狀態(tài)的結(jié)構(gòu)體。

static struct router_node{

int number; /* 到目的地址能找到的節(jié)點(diǎn)總數(shù) 如果為0，表示未找到路由*/

int err_num; /* 詢(xún)查所有節(jié)點(diǎn)，最后一個(gè)對(duì)端口無(wú)回應(yīng)的節(jié)點(diǎn)序號(hào)*/

struct in_addr node[31]; /* 用Tracert查到的路由節(jié)點(diǎn)地址 */

char f_send[30]; /* 向相應(yīng)節(jié)點(diǎn)成功發(fā)送TCP SYN包標(biāo)志，成功置 1*/

charf_recv[30]; /* 成功接收各節(jié)點(diǎn)回復(fù)包標(biāo)志，接收到置 1 */

int send_seq[30]; /* 發(fā)送的各SYN包的SEQ號(hào)，用來(lái)判斷接收包 */

unsigned char flag[30]; /* 如果接收返回包，保存返回包的TCP FLAG字段 */

}info_scan;

錯(cuò)誤狀態(tài)如下：

#define ERR_PORTSCAN_ROUTE_NO 0x01

#define ERR_PORTSCAN_ROUTE_OK 0x02

#define ERR_PORTSCAN_ROUTE_HALF 0x03

#define ERR_PORTSCAN_SEND_SYN 0x11 //向網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送SYN同步包出錯(cuò)

4 應(yīng)用案例

現(xiàn)有一計(jì)算機(jī)終端，無(wú)法登錄其開(kāi)通的網(wǎng)絡(luò)多媒體點(diǎn)播服務(wù)系統(tǒng)，但可以登錄其它網(wǎng)站，使用網(wǎng)絡(luò)測(cè)試儀的網(wǎng)絡(luò)故障診斷軟件來(lái)診斷該案例。

首先，通過(guò)用戶(hù)界面，填入多媒體點(diǎn)播系統(tǒng)的IP地址（如202.102.249.174）極其端口號(hào)（1026），然后點(diǎn)擊測(cè)試，診斷軟件首先查找從局域網(wǎng)絡(luò)到達(dá)202.102.249.174的路由如下：

2 *** Request timed out.

3 2 ms 1 ms 1 mshn.kd.ny.adsl [125.42.110.1]

然后，軟件將根據(jù)算法，從最后一個(gè)節(jié)點(diǎn)開(kāi)始診斷，發(fā)現(xiàn)直到hn.kd.ny.adsl時(shí)，1026端口的連接測(cè)試不能通過(guò)，從而確定，問(wèn)題是因?yàn)閔n.kd.ny.adsl設(shè)備禁止了1026端口。向局端工程師確認(rèn)，并修改多媒體登錄系統(tǒng)的端口為其它端口（8080）,可以登錄，問(wèn)題解決。

5 后記

使用該算法的網(wǎng)絡(luò)測(cè)試儀產(chǎn)品已經(jīng)研制成功，該產(chǎn)品同時(shí)具備了ping、sniffer等更多的網(wǎng)絡(luò)功能，可以更好的替代網(wǎng)絡(luò)維護(hù)人員隨聲攜帶的筆記本電腦和其它設(shè)備，簡(jiǎn)便地進(jìn)行網(wǎng)絡(luò)故障的診斷。

參考文獻(xiàn)：

[1]（美）科默（Comer，D.E.），林瑤，蔣慧，等，譯.用TCP/IP進(jìn)行網(wǎng)際互聯(lián)(第1卷):原理、協(xié)議與結(jié)構(gòu).北京:電子工業(yè)出版社,2001,5.

[2]（美）W.Richard Stevens，范建華,等,譯.TCP/IP詳解.北京:機(jī)械工業(yè)出版社,2000,4.

[3]（美）DonnaL.Harrington,童小林,等,譯.CCNP實(shí)戰(zhàn)指南:故障排除.北京:人民郵電出版社,2003,12.

[4]（美）史蒂文斯,（美）芬納,（美）魯?shù)婪?楊繼張,譯. UNIX網(wǎng)絡(luò)編程.北京:清華大學(xué)出版社,2006,1.

收稿日期：2008-03-10

icmp協(xié)議篇6

關(guān)鍵詞：木馬關(guān)鍵技術(shù)；動(dòng)態(tài)嵌入技術(shù)；反向連接技術(shù)

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2011) 10-0000-01

The Implementation of Trojan Key Technology

Wang Delei

(BeiJin LuHang Institute,Beijing101123,China)

Abstract:With the development of internet technology and the popularization of the global information technology has become a major trend.However,in recent years,hackers,technology continues to mature,network information security face a great challenge.This paper describes the dynamics of Trojans embedded technology,connectivity and reverse ICMP Trojan communications technology.

Keywords:Trojan key technology;Dynamic embedding;Reverse connection technology

一、引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)和程序設(shè)計(jì)技術(shù)的普及和發(fā)展，木馬程序的編制技術(shù)也不斷地普及和發(fā)展，目前，世界上有20多萬(wàn)個(gè)黑客網(wǎng)站在介紹一些攻擊方法和攻擊軟件的使用以及系統(tǒng)的漏洞。

二、木馬技術(shù)發(fā)展?fàn)顩r

按其在不同階段使用的典型技術(shù)可分為以下幾代木馬：第一代，即簡(jiǎn)單的密碼竊取、發(fā)送等，如“QQ密碼大盜”。第二代木馬在遠(yuǎn)程控制技術(shù)上有了很大的進(jìn)步，“冰河”是當(dāng)時(shí)國(guó)內(nèi)木馬的典型代表之一。第三代木馬在數(shù)據(jù)傳遞技術(shù)上又做了不小的改進(jìn)，出現(xiàn)了ICMP和反彈端口等類(lèi)型的木馬，利用畸形報(bào)文傳遞數(shù)據(jù)，增加了殺毒軟件查殺木馬的難度。比較典型的是“網(wǎng)絡(luò)神偷”。第四代木馬在進(jìn)程隱藏方面，采用了內(nèi)核插入式的嵌入方式，利用遠(yuǎn)程插入線(xiàn)程技術(shù)，嵌入DLL線(xiàn)程，或者掛接API，從而實(shí)現(xiàn)木馬程序的隱藏。現(xiàn)在第五代木馬正在發(fā)展中，具有遠(yuǎn)程DLL動(dòng)態(tài)入侵、模塊化升級(jí)、智能化通信等新特點(diǎn)。

三、木馬關(guān)鍵技術(shù)的實(shí)現(xiàn)

（一）動(dòng)態(tài)嵌入技術(shù)的實(shí)現(xiàn)。動(dòng)態(tài)嵌入技術(shù)是指木馬采用遠(yuǎn)程線(xiàn)程技術(shù)或HOOK技術(shù)注入其他進(jìn)程的運(yùn)行空間等方法導(dǎo)致殺毒軟件無(wú)法發(fā)現(xiàn)木馬的運(yùn)行痕跡。（二）反向連接技術(shù)的實(shí)現(xiàn)。反向連接技術(shù)是指木馬為了克服服務(wù)端在某一端口上偵聽(tīng)易被發(fā)現(xiàn)這一缺點(diǎn)，而采用服務(wù)端主動(dòng)連接，客戶(hù)端偵聽(tīng)的一種技術(shù)。這樣用一般的port scanner或者fport就發(fā)現(xiàn)不了服務(wù)端。這種反彈端口型木馬的典型例子是國(guó)產(chǎn)木馬“網(wǎng)絡(luò)神偷”。實(shí)現(xiàn)時(shí)主要的難點(diǎn)有兩個(gè)：一個(gè)是客戶(hù)端IP地址不能確定，服務(wù)端如何找到客戶(hù)端。另一個(gè)是服務(wù)端主動(dòng)連接客戶(hù)端時(shí)防火墻也會(huì)報(bào)警。下面圍繞這兩點(diǎn)探討解決方法。1.解決IP地址問(wèn)題。一種解決方法是客戶(hù)端通過(guò)一個(gè)有固定IP或者固定域名的第三方自己的IP，比如：事先約定好一個(gè)個(gè)人主頁(yè)的空間，放置一個(gè)文本文件，木馬固定多長(zhǎng)時(shí)間去取一次這個(gè)文件，如果文件內(nèi)容為空就什么都不做，如果有內(nèi)容就按照文本文件中的數(shù)據(jù)計(jì)算出控制端的IP和端口，反彈一個(gè)TCP鏈接回去，這樣每次控制者上線(xiàn)只需要上傳一個(gè)文本文件就可以告訴木馬自己的位置。另一種方法是使用RAW socket來(lái)收聽(tīng)ECHO REPLY類(lèi)型的ICMP包且在ICMP數(shù)據(jù)包的數(shù)據(jù)中就包含了客戶(hù)端IP。或者是截獲其他進(jìn)程收到的TCP數(shù)據(jù)或UDP包，然后分析截獲的數(shù)據(jù)，從中確定是否客戶(hù)端發(fā)來(lái)了一個(gè)報(bào)告其IP的數(shù)據(jù)片斷。這種客戶(hù)端通過(guò)某種方法主動(dòng)告訴服務(wù)端自己的IP和端口的方法可以保證最大的可靠性，安全性和靈活性。2.解決防火墻報(bào)警問(wèn)題。一種方法是上面提到的動(dòng)態(tài)嵌入技術(shù)，服務(wù)端將自己注入到一個(gè)可以合法的與外界進(jìn)行網(wǎng)絡(luò)通訊的進(jìn)程的地址空間中，然后就可以以一個(gè)新線(xiàn)程的形式運(yùn)行。在新線(xiàn)程內(nèi)去主動(dòng)連接客戶(hù)端，如果是寄生在IE內(nèi)就連接客戶(hù)端的80端口；如果是寄生在OICQ內(nèi)，可以連接客戶(hù)端的8000端口。另一種方法是木馬服務(wù)端使用80端口，將傳送的數(shù)據(jù)包含在HTTP的報(bào)文中，就算是能夠分析報(bào)文、過(guò)濾TCP/UDP的防火墻，也不可能分辨出通過(guò)HTTP協(xié)議傳送的究竟是網(wǎng)頁(yè)還是控制命令和數(shù)據(jù)。

（三）ICMP木馬技術(shù)的實(shí)現(xiàn)。ICMP全稱(chēng)是Internet Control Message Protocol（互聯(lián)網(wǎng)控制報(bào)文協(xié)議）它是IP協(xié)議的附屬協(xié)議，用來(lái)傳遞差錯(cuò)報(bào)文以及其他的消息報(bào)文，例如工具Ping就是通過(guò)發(fā)送接收ICMP_ECHO和ICMP_ECHOREPLY報(bào)文來(lái)進(jìn)行網(wǎng)絡(luò)診斷的。ICMP木馬技術(shù)的出現(xiàn)正是得到了Ping程序的啟發(fā)，ICMP木馬技術(shù)利用ICMP報(bào)文由系統(tǒng)內(nèi)核或進(jìn)程直接處理而不是通過(guò)端口的特點(diǎn)，將自己偽裝成一個(gè)Ping的進(jìn)程，系統(tǒng)就會(huì)將ICMP_ECHOREPLY（Ping的回包）的監(jiān)聽(tīng)、處理權(quán)交給木馬進(jìn)程，木馬進(jìn)程通過(guò)判斷包大小、ICMP_SEQ等特征，來(lái)確定是否是自己需要的數(shù)據(jù)，一旦事先約定好的ICMP_ECHOREPLY包出現(xiàn)，木馬就會(huì)接受、分析并從報(bào)文中解碼出命令和數(shù)據(jù)來(lái)執(zhí)行。另外一種辦法是修改ICMP頭的構(gòu)造，加入木馬的控制字段。由于ICMP_ECHOREPLY包還有對(duì)于防火墻和網(wǎng)關(guān)的穿透能力，這種技術(shù)使得木馬擺脫了端口的限制，突破了防火墻對(duì)目標(biāo)主機(jī)的保護(hù)。

四、結(jié)束語(yǔ)

綜上所述，隨著internet技術(shù)的發(fā)展和使用的普及，木馬技術(shù)也在不斷的成熟和普及，本文僅從一個(gè)側(cè)面加以討論，希望通過(guò)這一探討讓我們對(duì)木馬的關(guān)鍵技術(shù)有一個(gè)簡(jiǎn)單的認(rèn)識(shí)，同時(shí)也為我們防范他人利用木馬非法入侵提供參考。

參考文獻(xiàn)：

[1]張友生,米安然.計(jì)算機(jī)病毒與木馬程序的剖析[M].北京:科海電子出版社,2003

[2]周明全,呂林濤,李軍懷.網(wǎng)絡(luò)信息安全技術(shù)[M].西安:電子科技大學(xué)出版社,2003

[3]孫鋒.網(wǎng)絡(luò)安全與防黑技術(shù)[M].北京:機(jī)械工業(yè)出版社,2004

icmp協(xié)議篇7

【關(guān)鍵詞】漏桶攻擊配置

一、引言

松原局s8016設(shè)備曾被病毒惡意攻擊過(guò)，經(jīng)過(guò)認(rèn)真核實(shí)，訪(fǎng)問(wèn)列表等都已經(jīng)設(shè)置了，但是CPU的占用率為100%，這顯然是不正常的現(xiàn)象，為了有效遏制病毒攻擊，我們及時(shí)與華為工程師溝通，采取了有效的措施及時(shí)地進(jìn)行障礙診斷處理，對(duì)該設(shè)備的漏桶進(jìn)行重新設(shè)置。因?yàn)橥ㄟ^(guò)漏桶上傳的報(bào)文一般都是與網(wǎng)關(guān)有交互，需要到MPU處理的協(xié)議報(bào)文或者ping網(wǎng)關(guān)及telnet、FTP等報(bào)文，根據(jù)實(shí)際情況，考慮配置以下漏桶，對(duì)丟棄頻繁的漏桶進(jìn)行限流配置。

二、故障現(xiàn)象描述：

首先查看漏桶：

[8016]display system-bucket 1

****Token information****

#The slot number： 1 /*板號(hào)*/

#The token ID： 1 /*漏桶號(hào)*/

The time of the last packets arrive：36403113 /*上次報(bào)文到來(lái)的時(shí)間ms*/

The number of present tokens： 32716 /*當(dāng)前剩余的令牌*/

The traffic rate of the token： 32K /*漏桶通道大小*/

The height of the token bucket：32768 /*漏桶深度*/

The number of the discarded packets： 0 /*丟棄報(bào)文數(shù)*/

三、障礙處理過(guò)程

根據(jù)網(wǎng)上設(shè)備運(yùn)行經(jīng)驗(yàn)：如果單板ARP數(shù)小于100個(gè)，則漏桶可以配置為2K；如果單板的ARP數(shù)小于500個(gè)，對(duì)于ARP攻擊建議將漏桶配置成4K；如果大于500個(gè)，建議漏桶配置值為8K。通過(guò)上述的配置，在一般情況或者攻擊很少的情況對(duì)正常業(yè)務(wù)影響不大。具體配置如下：

apply system-bucket 1 22 traffic-rate 4/*將1號(hào)板的22號(hào)漏桶ARP配置為4K*/每個(gè)漏桶的報(bào)文類(lèi)型可以通過(guò)？命令查看“display system-bucket ？”

display system-bucket 7 ？

1 Default bucket，any packet not list here use this bucket

缺省類(lèi)型，也就是表中沒(méi)有列出的其他類(lèi)型報(bào)文都公用這一個(gè)桶

2 ARP Miss message，use it to form ARP entry

ARP MISS 消息（請(qǐng)求下一跳的ARP）

3 FIB Miss Message，use it to form host route entry

FIB MISS消息（掃描網(wǎng)段時(shí)經(jīng)常發(fā)生，上送觸發(fā)ARP請(qǐng)求）

4 PPP protocol control frame

PPP控制報(bào)文

5 Packet MFIB Miss ，use it to form （S，G） route

組播路由MISS后導(dǎo)致的上送消息

6 ARP response packet

回應(yīng)S8016的ARP應(yīng)答報(bào)文

8 ISIS protocol packet

ISIS報(bào)文

9 IP multicast packet which destIP address is 224.0.0.2（used by IGMP， LDP

etc）

224.0.0.2：所有組播路由器，應(yīng)用的協(xié)議：IGMP、LDP

10 IP multicast packet which destIP address is 224.0.0.5（used by OSPF） 224.0.0.5：OSPF路由器

11 IP multicast packet which destIP address is 224.0.0.6（used by OSPF） 224.0.0.6：OSPF指定路由器

12 IP multicast packet which destIP address is 224.0.0.9（used by RIP2） 224.0.0.9：RIP2路由器

14 IP multicast packet which destIP address is 224.0.0.13（used by PIM）

15 Other IP multicast packet which destIP address is in

224.0.0.0-224.0.0.255（excluded.2 .5 .6 .9 .10 .13 .18）

其他組播報(bào)文應(yīng)用不多，本參數(shù)應(yīng)該可以滿(mǎn)足

16 HGMP protocol packet

HGMP報(bào)文上送

17 GVRP protocol packet

GVRP報(bào)文上送

19 BPDU protocol packet

BPDU報(bào)文上送

21 Packet length exceed MTU and DF flag is set，it is used by host to discover the MTU in the route

MTU超值且DF置位上送

22 ARP request packet send by all the host，use it to learning host route

ARP 請(qǐng)求報(bào)文，一般用戶(hù)發(fā)出或者下級(jí)設(shè)備發(fā)出

23 DHCP protocol packet

DHCP報(bào)文

24 Arp request packet witch destIP is in NAT pool

NAT地址池的ARP請(qǐng)求報(bào)文，應(yīng)用很少

25 Register packet used in PIM SIM protocol

組播注冊(cè)報(bào)文

27 Packet which destIP is ip address of gateway， exclude ICMP and TCP

目的地址為網(wǎng)關(guān)的報(bào)文，不報(bào)括ICMP和TCP，通常為UDP報(bào)文等

28 ICMP request packet witch destIP is webswitch’s VIP

和CLPU板相關(guān)，應(yīng)用很少

30 IP multicast packet which destIP address is 224.0.0.18（used by VRRP） VRRP組播報(bào)文，如果有VRRP配置時(shí)會(huì)有

31 ICMP packet which destIP is ip address of gateway， for example， ping packet

目的地址為網(wǎng)關(guān)的ICMP報(bào)文，典型的為ping

32 TCP packet which destIP is ip address of gateway， for example， FTP， BGP peer， LDP session

目的地址為網(wǎng)關(guān)的的TCP報(bào)文，如果沒(méi)有BGP和LDP，注意此漏桶的攻擊，默認(rèn)帶寬較大，有256K

33 RIP1 protocol packet

RIP協(xié)議報(bào)文

A：想查看8016的CPU占用率，只需要在系統(tǒng)視圖下輸入display cpu命令。

四、故障總結(jié)

icmp協(xié)議篇8

摘要：該文介紹一個(gè)新的主動(dòng)型的網(wǎng)絡(luò)安全系統(tǒng)－蜜罐。首先給出了蜜罐的定義和分類(lèi)，然后詳細(xì)描述了一個(gè)網(wǎng)絡(luò)層次上的模擬計(jì)算機(jī)系統(tǒng)的虛擬蜜罐框架Honeyd，討論了Honeyd的原理、結(jié)構(gòu)、特點(diǎn)、設(shè)計(jì)和實(shí)現(xiàn)，并對(duì)它的功能作了全面的測(cè)試評(píng)估。關(guān)鍵字：蜜罐，交互性，個(gè)性，路由拓?fù)洌０?蜜罐（Honeypot）的介紹今天網(wǎng)絡(luò)安全問(wèn)題正日益嚴(yán)重。黑客利用自動(dòng)化的大規(guī)模的漏洞掃描工具，可以在發(fā)現(xiàn)漏洞后不久就使全球的計(jì)算機(jī)系統(tǒng)遭受破壞。可是經(jīng)過(guò)數(shù)十年的研究和探索，我們?nèi)匀徊荒艽_保計(jì)算機(jī)系統(tǒng)的安全，甚至無(wú)法準(zhǔn)確評(píng)估它們的安全性。現(xiàn)在我們介紹一種新的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)：蜜罐（Honeypot）。蜜罐是指受到嚴(yán)密監(jiān)控的網(wǎng)絡(luò)誘騙系統(tǒng)，它可以迷惑敵人，將攻擊從網(wǎng)絡(luò)中比較重要的機(jī)器上轉(zhuǎn)移開(kāi)，對(duì)新攻擊發(fā)出預(yù)警，更重要的是可以引誘黑客攻擊而并對(duì)其攻擊的行為和過(guò)程進(jìn)行深入的分析研究。將蜜罐和入侵檢測(cè)系統(tǒng)、防火墻等結(jié)合使用，可以有效提高系統(tǒng)安全性。Honeypot分為兩種類(lèi)型：一種是低交互性蜜罐（Low-InteractionHoneypot），另一種是高交互性蜜罐（High-InteractionHoneypot）。低交互性蜜罐通常是運(yùn)行于現(xiàn)有操作系統(tǒng)上的仿真服務(wù)，只允許少量的交互動(dòng)作,黑客只能在仿真服務(wù)預(yù)設(shè)的范圍內(nèi)動(dòng)作，它的優(yōu)點(diǎn)是結(jié)構(gòu)簡(jiǎn)單，部署容易，風(fēng)險(xiǎn)很低。高交互性蜜罐通常由真實(shí)的操作系統(tǒng)來(lái)構(gòu)建，提供給黑客的是真實(shí)的系統(tǒng)和服務(wù)。采用這種方式可以獲得大量的有用信息，包括我們完全不了解的新的網(wǎng)絡(luò)攻擊方式。同時(shí)，它也帶來(lái)了更多的風(fēng)險(xiǎn)--黑客可能通過(guò)這個(gè)完全開(kāi)放的真實(shí)系統(tǒng)去攻擊和滲透網(wǎng)絡(luò)中的其他機(jī)器。配置高交互性的物理的蜜罐成本很高，因?yàn)槊總€(gè)蜜罐是具有自已IP地址的真實(shí)機(jī)器，要有它自已的操作系統(tǒng)和相應(yīng)硬件。而虛擬蜜罐是由一臺(tái)機(jī)器去模擬構(gòu)造一個(gè)擁有的多個(gè)虛擬主機(jī)和虛擬服務(wù)的網(wǎng)絡(luò)。相對(duì)而言，虛擬蜜罐需要較少的計(jì)算機(jī)資源和維護(hù)費(fèi)用。本文描述的Honeyd，就是一個(gè)在網(wǎng)絡(luò)層次上模擬計(jì)算機(jī)系統(tǒng)的虛擬蜜罐框架。2Honeyd的設(shè)計(jì)和實(shí)施Honeyd是一個(gè)輕型的開(kāi)放源代碼的虛擬蜜罐的框架，可以模擬多個(gè)操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)，支持IP協(xié)議族，創(chuàng)建任意拓?fù)浣Y(jié)構(gòu)的虛擬網(wǎng)絡(luò)。同時(shí)，為了模擬拓?fù)浞稚⒌木W(wǎng)絡(luò)地址空間和共享負(fù)荷，該結(jié)構(gòu)也支持網(wǎng)絡(luò)通道。圖1Honeyd的數(shù)據(jù)接收?qǐng)D2Honeyd的結(jié)構(gòu)2.1網(wǎng)絡(luò)數(shù)據(jù)的接收要使Honeyd可以對(duì)目的IP地址屬于虛擬蜜罐之一的網(wǎng)絡(luò)數(shù)據(jù)包正常的接受和回應(yīng)，有如下方法：對(duì)指向Honeyd主機(jī)的虛擬IP地址創(chuàng)建特定路由、使用ARP及使用網(wǎng)絡(luò)通道。如圖1所示，假設(shè)10.0.0.1為我們路由器的IP地址，10.0.0.2為Honeyd主機(jī)的IP地址。10.0.0.11-14是Honeyd虛擬的蜜罐的IP地址。最簡(jiǎn)單的情況是虛擬蜜罐的IP位于我們局域網(wǎng)內(nèi)。當(dāng)從互聯(lián)網(wǎng)向蜜罐WindowsNT4.0發(fā)送一個(gè)包時(shí)，路由器首先查詢(xún)它的路由表由找到10.0.0.13的轉(zhuǎn)送地址，如果沒(méi)有配置專(zhuān)用的路由，路由器通過(guò)ARP請(qǐng)求確定虛擬蜜罐的MAC地址，因?yàn)闆](méi)有相應(yīng)的物理機(jī)器ARP請(qǐng)求會(huì)不被響應(yīng)，因此我們配置Honeyd主機(jī)用自己的MAC地址的對(duì)10.0.0.13的ARP請(qǐng)求做出反應(yīng)，這樣通過(guò)ARP路由器就把發(fā)送蜜罐WindowsNT4.0的包轉(zhuǎn)到Honeyd主機(jī)的MAC地址。在復(fù)雜的情況下，我們也可以應(yīng)用通用路由封裝（GRE）通道協(xié)議在網(wǎng)絡(luò)地址空間和hondyd主機(jī)間建立通道。2.2Honeyd結(jié)構(gòu)Honeyd結(jié)構(gòu)由幾部分構(gòu)成：一個(gè)配置數(shù)據(jù)庫(kù)，一個(gè)中央包分配器，協(xié)議處理器，個(gè)性化引擎和隨機(jī)的路由組件，見(jiàn)圖2。Honeyd支持三種主要的互聯(lián)網(wǎng)協(xié)議：ICMP，TCP和UDP。輸入的包由中央包分配器處理，它首先檢測(cè)IP包的長(zhǎng)度并驗(yàn)證校驗(yàn)，然后查詢(xún)配置數(shù)據(jù)庫(kù)找到與目的IP地址相對(duì)應(yīng)的蜜罐配置，如果不存在專(zhuān)用的配置，則應(yīng)用缺省模板。確定了配置后，數(shù)據(jù)包被傳送給相應(yīng)的協(xié)議處理器。ICMP協(xié)議處理器支持大多數(shù)ICMP請(qǐng)求。缺省時(shí)，對(duì)ECHO請(qǐng)求做出反應(yīng)并給出目的地址不可達(dá)的信息。對(duì)TCP和UDP來(lái)說(shuō)，該結(jié)構(gòu)能為任意的服務(wù)建立連接，服務(wù)是在STDIN上接受數(shù)據(jù)并把輸出發(fā)送到STDOUT的外部應(yīng)用。Honeyd包含一個(gè)簡(jiǎn)化的TCP狀態(tài)機(jī)，完全支持三次握手（Three-wayHandshake）的建立連接和通過(guò)FIN或RST撤消連接，但是接受器和擁塞窗口管理沒(méi)有完全實(shí)現(xiàn)。UDP數(shù)據(jù)報(bào)直接傳到應(yīng)用，當(dāng)收到一個(gè)發(fā)往封閉端口的UDP包的時(shí)候，默認(rèn)發(fā)出一個(gè)ICMP端口不可達(dá)的信息。Honeyd結(jié)構(gòu)也支持連接的重定向，重定向可以是靜態(tài)的或依賴(lài)于連接四元組（源地址，源端口，目的地址，目的端口）。重定向允許我們把虛擬蜜罐上的一個(gè)服務(wù)連接請(qǐng)求轉(zhuǎn)遞給一個(gè)在真正的服務(wù)器上運(yùn)行的服務(wù)，例如，我們可以把DNS請(qǐng)求重指向一個(gè)域名服務(wù)器甚至可以把連接反傳給敵人。2.3個(gè)性化引擎（PersonalityEngine）黑客通常會(huì)運(yùn)用象Xprobe或Nmap的指紋識(shí)別工具來(lái)收集目標(biāo)系統(tǒng)的信息，為了迷惑敵人，Honeyd可以模擬給定操作系統(tǒng)的網(wǎng)絡(luò)堆棧行為，我們把這稱(chēng)為虛擬蜜罐的個(gè)性(Personality)。個(gè)性化引擎使蜜罐的網(wǎng)絡(luò)堆棧按照個(gè)性設(shè)置來(lái)改變每個(gè)外出包的協(xié)議頭，以便與被配置的操作系統(tǒng)的特征相符。Honeyd結(jié)構(gòu)應(yīng)用Nmap指紋庫(kù)作為個(gè)性的TCP和UCP行為的參照，用Xprobe的指紋據(jù)庫(kù)作為個(gè)性的ICMP行為的參照。下面介紹怎樣應(yīng)用Nmap提供的指紋信息來(lái)改變蜜罐的網(wǎng)絡(luò)堆棧特性。FingerprintWindowsNT4.0SP6ahotfixesTSeq(Class=RI%gcd=<6%SI=<40132&>290%IPID=BI|RPI%TS=U)T1(DF=Y%W=2017琄=S%Flags=AS%Ops=M)T2(Resp=Y

本文鏈接：http://m.svtrjb.com/v-141-3071.htmlicmp協(xié)議范文8篇

聲明：本網(wǎng)頁(yè)內(nèi)容由互聯(lián)網(wǎng)博主自發(fā)貢獻(xiàn)，不代表本站觀點(diǎn)，本站不承擔(dān)任何法律責(zé)任。天上不會(huì)到餡餅，請(qǐng)大家謹(jǐn)防詐騙！若有侵權(quán)等問(wèn)題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系，我們將在第一時(shí)間刪除處理。

顯示全文

上一篇：ip授權(quán)范文8篇

下一篇：ipx協(xié)議范文8篇

相關(guān)文章：

運(yùn)動(dòng)會(huì)的日記300字12-05

立秋朋友圈文案簡(jiǎn)短09-07

教學(xué)規(guī)律口訣范文8篇08-15

贊美別人的話(huà)01-30

很短的句子01-13

中元節(jié)的短語(yǔ)08-16

感謝姐姐的話(huà)語(yǔ)暖心簡(jiǎn)短07-26

酒店客房部經(jīng)理個(gè)人年終總結(jié)01-15