● 28.184请看！（斑竹不要删阿，保留n天） - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: michaelx (大家一起玩cs), 信区: Virus
标  题: 28.184请看！（斑竹不要删阿，保留n天）
发信站: 荔园晨风BBS站 (Wed Jun  6 13:00:36 2001), 转信

28。184的师兄说我个两个friend天天都狂ping他的机n次。
我想这个可能性很低，我不是说师兄不对，而是有点误会了。
（1）我那两个friend，如果他很得闲的话，他们会打机或上网。
     不会这么无聊去ping你。
（2）可能你的火墙纪录了这两个ip ping过你。不过这也不一定
     就能说明他们真的ping过。你看看一下的内容吧：
//begin
Ping是通过发送ICMP报文(类型8代码0)探寻网络主机
是否存在的一个工具，很久以前，一部分操作系统（例如win95），不能很好处理
过大的Ping包，导致出现了Ping to Death的攻击方式（用大Ping包搞垮对方或者
塞满网络），随着操作系统的升级，网络带宽的升级、计算机硬件的升级，目前，
大Ping包基本上没有很大的攻击效果（分布式攻击除外），如果一定要使用Ping包
去攻击别的主机，除非是利用TCP/IP协议的其他特性或者网络拓扑结构的缺陷放大
攻击的力度（所谓正反馈）

　　正常情况下，Ping的流程是这样的:

　　主机A发送ICMP 8,0报文给主机B

　　主机B回送ICMp 0,0报文给主机A

　　因为ICMP基于无连结，所以就给了我们可乘之机，假设现在主机A伪装成主机
C发送ICMP 8,0报文，结果会怎么样呢?显然，主机B会以为是主机C发送的报文而去

　　回应主机C，结构如下：

　　　伪装为主机C                 错误的回复
主机A--------------------->主机B------------------>主机C

　　这种情况下，由于主机A只需要不断发送Ping报文而不需要处理返回的
EchoReply，所以攻击力度成倍的增加，同时实际上主机B和主机C都是被进攻的目
标，而且不会留下自己的痕迹，是一种隐蔽的一石二鸟的攻击方法。
//end
看完后你就会明白了，你就单凭火墙的纪录，是很难说明那两部机，一定
ping过你，可能有人用了以上的方法去攻击你。
我在secutiy版很早就post那个程式的source。不信的话，copy下来，
编译一下试试，不要攻击别人喔。
（3）还有如果有人用了那两个人的ip,然后去ping你呢？
ps:由于时间关系，可能有些地方说错了，请指出，多多原谅。
   还要感谢mic不删此文章。

--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.28.10]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店