荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: sorceress (sorceress), 信区: Security
标 题: igmp攻击是什么?
发信站: BBS 荔园晨风站 (Thu Aug 31 23:02:04 2000), 转信
下面将要介绍的这个IGMP攻击程序有很多地方异常:
1) IP头部上层协议指明IP数据区出现IGMP报文,但是IP头部的目标地址不是组播
地 址而是单播地址(也是被攻击的目标地址),所以这样的报文能不能称做IGMP报
文 值得推敲,是否作为IGMP报文被处理值得怀疑。
2) IGMP报文总共8字节,没有其他负载。但这个攻击程序有其他负载,并且负载很
大, 刻意制造了IP分片。攻击程序在发送IP分片的时候采用倒序,先发送最后一个
分片后发送第一个分片。这里采用raw_socket人为制造的异常分片,不是让
IP协议栈自行分片,事实上在发送方始终没有出现过那个分片前的超大完整IP报
文。
3) IGMP报文版本、类型、校验和、组地址全部为零,显然异常。
4) 如果以完整的一批IP分片为单位,原来的程序循环发送了两次。在测试过程感
觉 还是依赖于发送速度和发送数量的,缺省使用两次,不是每次都攻击成功,这
种 情况下重复攻击效果也不是很好。在程序中把循环次数调整成200,一次攻击就
成 功,明显和攻击速度、报文数量有关。
源IP不要求等于目标IP,可以是任意伪造的源IP。目标IP地址并不是组播地址
, 对于只看到IP层的路由器来说,就是普通单播IP报文,并不会意识到正在路由
一 个IGMP报文(如果这个报文能被称做IGMP报文的话)。以前有朋友说不能在广域
网上进行IGMP攻击,而又有一些朋友却说远程攻击奏效。据我这次分析,远程攻
击有些时候失效,并不是因为常规路由不转发组播报文,前面解释过了,路由看
到的是单播IP报文,而是因为分片丢失。这个攻击程序每次循环制造11个分片,
远程攻击不能保证11个分片都能按时到达目标IP进而重组。这样看来,还是重组
后巨大的异常IGMP报文带来麻烦。
总有朋友问这类DoS攻击原理何在,也总有朋友回答就是发送什么什么样的报文
,感觉回答的只是表象,真正解释为什么蓝屏、为什么死机,需要用softice跟踪
目标主机对这种报文的处理过程。一个有效DoS报文本身说明不了问题,通过协议
分析软件抓取报文、通过阅读源代码分析报文都仅仅是搞清楚什么样的报文会导
致DoS,为什么这样的报文会导致DoS不是网络数据本身能给出答案的。前阵子那
个jot2.c,我只能知道那种类型的报文可能导致DoS,但为什么导致,不清楚,不
分析具体操作系统在这些协议处理上的实现,只看网络数据,能得到什么答案,
隔靴搔痒。不大喜欢别人用这种方式讨论这种问题,有夸夸其谈的嫌疑。也没有
必要过深了解这类DoS的真实原因,除非你有能力修改系统,象Linux那样能修理
源代码的另当别论。
这个攻击首先导致目标蓝屏,回车后IP栈基本废掉了,从远程无法ping通目标
,需要重启动恢复。但没有导致死机,还可以做其他非网络工作。如果存在
softice,情况不大一样,我对此并不熟悉,不多描述。
5) IP头部的id域始终没有改变,后一轮循环中的分片和前一轮循环中的分片如何
区分,我看就无法区分,对接收方分片重组带来什么样的影响?
个人觉得这个攻击完全可以远程进行,而且不要求源IP等于目标IP,机会很大。命
令行上指定伪造的源IP、攻击目标IP、IGMP报文数目(以一批分片为单位)。
--
※ 来源:·BBS 荔园晨风站 bbs.szu.edu.cn·[FROM: bbs.xanet.edu.cn]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店