● 回复好友luther(关于igmp) - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: ainny (为你等待), 信区: Hacker
标  题: 回复好友luther(关于igmp)
发信站: BBS 荔园晨风站 (Sun Apr  2 18:12:14 2000), 转信

发信人: tanking (tanking), 信区: Security
标  题: 回复好友luther(关于igmp)
发信站: 武汉白云黄鹤站 (Fri Mar 31 19:26:48 2000), 站内信件

luther:以下资料供你参考
IGMP据说可以攻击98，我在NT局域网试验过（感谢问问朋友提供IGMPNUKE），的确可以
使98的机器蓝屏死机；在INTERNET上需要大家自己去试验啦。其工作原理引用goodwell
的原句如下：Windows 95, 98 and Windows 2000's TCP/IP stacks were not built t
o tolerate malformed IGMP (Internet Group Management Protocol) headers. When
one is received, the stack will fail with unpredictable results ranging fro
m a Blue Screen to instantaneous reboot
下面是袁哥（嘿嘿，这个名字倒是起得古怪，谁都得叫他哥:(）在安全论坛发表的有关
意见，我整理一下贴给大家，不过争议确实颇多，希望有朋友们多提宝贵意见。
WIN95，WIN98的NMPI协议有个BUG，可以炸死机（炸后毫无反映，鼠标键盘都不管用）。
因为此协议是IPX/SPX协议里面的，所以只能炸内部网的，如果有IPX路由可能可以炸得
远点。如果没有安装IPX/SPX协议或者没有IPX/SPX协议绑定MICROSOFT客户可能不能炸。
此BUG与原来的一些BUG很不一样，不是包中哪个字段非法，造成非法访问或者溢出破坏
系统，是因为此协议的回复包与此协议包没多少区别造成（没有字段指明是这种包还是
回复包，其他的协议一般都有字段指明），此死机包关键就是伪造机器名和网卡地址MA
C2，造成受攻击机器收到包后的回复包又是受攻击机器本身，而回复包因为包没有字段
表明是回复包，所以查到机器名是自己（此协议就是以机器名识别是不是该接收）又回
复包，所以就造成发包的死循环，而这处理是在VXD中就是系统内核中，所以不能切换任
务处理键盘鼠标等，也就是死机毫无反应了。
务处理键盘鼠标等，也就是死机毫无反应了。
下面是此协议的正常包的数据，有NETXRAY的可以截获这样的包或者输入查看每个字段的
含义。你只要把MAC2（网卡号）和机器名（注意机器名可能应该都是大写，还有都有两
个地方）改成要攻击的机器的，然后简单的发包一次就够了（不像很多攻击是大量的包
或者错误包）。有NETXRY的可以很简单的一试，有空闲时间有兴趣的可以做好方便的N
UKE程序（可以取名网络恶邻居？），记得也妹儿yuange@163.net一份。
我还有别的支持IP的方法，欢迎大家交流。我的可是我自己的方法哦！
FF FF FF FF FF FF 00 10 4B 13 CB 06 00 65 E0 E0
| MAC1 | MAC2 | LONG |LLC|
03 FF FF 00 62 00 14 00 00 00 00 FF FF FF FF FF
| MAC1
FF 05 51 00 00 00 00 00 10 4B 13 CB 06 05 50 00
| SOCK| |MAC2 | SOCK|
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 F1
01 00 00 CE BA C0 F6 D3 A2 20 20 20 20 20 20 20
| COMPUTER NAME
20 20 20 CE BA C0 F6 D3 A2 20 20 20 20 20 20 20
| COMPUTER NAME
20 20 20
|
看大家又开始玩IGMP NUKE了，那就给一个简单的预防方法吧。你用DEBUG或者可以编辑
16进制的软件，打开文件VIP。386，找16进制代码 6A 02 E8 找到把 02 改成F2就可以
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 F1
。
原理是那儿代码是安装IGMP协议的（那02就是IP协议里面的IGMP，01是ICMP，06是TCP，
11是UDP），改成F2就是协议类型安装成了F2，那样02就不是解释成IGMP协议了，其实这
样大致就是把IGMP协议关了，因为单机根本就可以不要IGMP协议的，所以没什么影响。

还有那ICMP预防攻击可以找 6A 01 E8 ，把01改成 F1，但这稍微有点影响，因为PING就
是用的ICMP协议，还有有些站点访问不了的可能就会多等一会儿才知道访问不了，还有
路由，反正影响不是很大。
TCP，UDP的攻击不能这么预防了，一个是协议太重要，另一个是那安装的代码特征不是
这样，因为TCP，UDP的安装不在文件VIP。386里面。

--
☆ 来源:．BBS 荔园晨风站 bbs.szu.edu.cn．[FROM: bbs@192.168.28.106]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店