基于重定向(redirect)的路由欺骗技术

　　首先我们应该知道，微软的Windows98和NT系统都保持着一张已知的路由器列表，列表中位于第一项的路由器是默认路由器，如果默认路由器关闭，则位于列表第二项的路由器成为缺省路由器。缺省路由向发送者报告另一条到特定主机的更短路由，就是ICMP重定向。

　　攻击者可利用ICMP重定向报文破坏路由，并以此增强其窃听能力。除了路由器，主机必须服从ICMP重定向。如果一台机器想网络中的另一台机器发送了一个ICMP重定向消息，这就可能引起其他机器具有一张无效的路由表。如果一台机器伪装成路由器截获所有到某些目标网络或全部目标网络的IP数据包，这样就形成了窃听。通过ICMP技术还可以抵达防火墙后的机器进行攻击和窃听。

　　据笔者观察，目前所有基于ICMP路由欺骗的技术都是停留在理论上的论述， 没有找到相关的具体攻击实例和原程序

　　配置防火墙以预防攻击

　　一旦选择了合适的防火墙，用户应该配置一个合理的安全策略。一般除了出站的ICMP Echo Request、出站的ICMP Source Quench、进站的TTL Exceeded和进站的ICMP Destination Unreachable之外，所有的ICMP消息类型都应该被阻止。

　　现在许多防火墙在默认情况下都启用了ICMP过滤的功能。如果没有启用，只要选中“防御ICMP攻击”、“防止别人用ping命令探测”就可以了。

　　配置系统自带的默认防火墙以预防攻击

　　虽然很多防火墙可以对PING进行过滤，但对于没有安装防火墙时我们如何有效的防范ICMP攻击呢?先面我们介绍一下配置一下系统自带的默认防火墙的预防攻击的方法。方法如下:

　　第一步:打开在电脑的桌面，右键点击“网上邻居→属性→本地连接→属性→Internet协议(TCP/IP)→属性→高级→选项-TCP/IP筛选-属性”。

　　第二步:“TCP/IP筛选”窗口中，点击选中“启用TCP/IP筛选(所有适配器)”。然后分别在“TCP端口、UDP端口和IP协议”的添加框上，点击“只允许”，后按添加按钮，然后在跳出的对话框输入端口，通常我们用来上网的端口是:80、8080，而邮件服务器的端口是:25、110，FTP的端口是20、21，同样将UDP端口和IP协议相关进行添加。

　　第三步:打开“控制面板→管理工具→本地安全策略”，然后右击“IP安全策略，在本地机器”选“管理IP筛选器和IP筛选器操作”，在管理IP筛选器和IP筛选器操作列表中添加一个新的过滤规则，名称输入“防止ICMP攻击”，然后按添加，在源地址选任何IP地址，目标地址选我的IP地址，协议类型为ICMP，设置完毕。

　　第四步:在“管理筛选器操作”，取消选中“使用添加向导”，添加，在常规中输入名字“Deny的操作”，安全措施为“阻止”。这样我们就有了一个关注所有进入ICMP报文的过滤策略和丢弃所有报文的过滤操作了。

　　第五步:点击“IP安全策略，在本地机器”，选择“创建IP安全策略-下一步-输入名称为ICMP过滤器”，通过增加过滤规则向导，把刚刚定义的“防止ICMP攻击”过滤策略指定给ICMP过滤器，然后选择刚刚定义“Deny的操作”，然后右击“防止ICMP攻击”并启用。

文章页数:[1] [2] [3]