WIN2000 WEB服务器防止ICMP数据包攻击_网络学院

WIN2000 WEB服务器防止ICMP数据包攻击

ICMP简介
ICMP的全称是Internet Control Message Protocol（网间报文控制协议），它是IP不可
分割的一部分，用来提供错误报告。一旦发现各种错误类型就将其返回原主机，我们平
时最常见的ping命令就是基于ICMP的。
ICMP攻击导致拒绝服务（DoS）
服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务，服
务拒绝攻击是最容易实施的攻击行为。
由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈
的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头
里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限
的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，
致使接受方当机。这就是所说的"ping of death"，现在网络上很多号称能够致使系统死
机的软件都是基于这个原理，我们所熟悉的工具"Winnuke"就是一例

攻击步骤大部分如下：
攻击者锁定一个被攻击的主机（通常是一些Web服务器）；攻击者寻找可以利用的代理站点，用
来对扩展攻击（一般都会选择几十个甚至上百个代理服务器，以便更好地隐藏自己，伪装攻击）

攻击者给代理站点的广播地址发送大量的ICMP包（主要是指Ping命令的回应包）。这些数据包全
都以被攻击的主机的IP地址做为IP包的源地址；代理向其所在的子网上的所有主机发送源IP地
址欺骗的数据包；代理主机对被攻击的网络进行响应。为什么会对服务器有影响？甚至攻击瘫
痪网站？因为攻击者能以1Mbps的速度向代理机器发送ICMP数据包；再假设代理站点有300台主机
对这些ICMP包做出了反应。这样，一下子就有300Mbps的攻击数据从代理拥向被攻击的主机。一
个代理300Mbps，几十台代理的话，攻击力就以增加了几十，上百倍。所以管理员一定要重视。
如果安装防火墙，设置不好的话，就会对WEB 服务器正常服务有影响，我们下面介绍如何在
不安装防火墙的情况下也能把数据包过滤掉，从而实现防御ICMP数据包的DDOS攻击。我们可
以通过设置WIN2000的IP安全策略配置来实现。
配置过程如下：
第一：我们先在本机的开始---》运行框里输入 MMC ，目的是打开控制台。
按确定就可以打开一个控制台了。控制台是为了让管理员能更方便的维护服务器而设置
的。
现在我们是PING的通本机的，比如我们的IP是：X.X.X.X 我们在CMD命令行
下输入：PING X.X.X.X 得出结果显示IP：X.X.X.X 的信息如主机类型返回PING值等等，

第二：我们选主菜单的[控制台]里的添加/删除管理单元来添加一个控制单元，接着
我们选添加，然后弹出单元设置框，我们选IP安全策略管理，然后按添加。[图1]添加独立的
管理单元里包含了全部管理工具选项，我们可以按我们实际需要来添加，在本教程我们只需要
添加一个IP安全策略项即可。
我们接着按完成，再按关闭，最后按确定。现在我们就成功添加了一个IP安
全策略管理单元了。
第三：我们来继续设置IP安全策略单元，按[操作]菜单选创建IP安全策略然后按
下一步，在名称框里输入：防止ICMP攻击（也可以自己定义喜欢的名称），描述框可写可不写
。按下一步，再下一步，设置共享密匙：123456 [图2]也就是密码，最好设置
一下按下一步，再按完成。
第四：开始设置IP安全策略属性，按添加，下一步，再下一步，设置IP安
全策略规则。下一步，选择网络类型。下一步，设置IP策略密码，下一步选编辑
，继续选编辑IP刷选器列表 [图3]。里面有ICMP，TCP，UDP等等常用协议，本教程选
择ICMP协议，按确定。这时在IP刷选器列表多了一项，我们刚才添加的防止ICMP攻击项按
下一步，选择要求安全设置，按下一步，完成。
第五：我们按确定和关闭。这时全部设置好了，我们用鼠标右键点一下我们添加的防止ICMP攻击
项，选指派[图4]，这时候我们设置的IP安全策略开始工作了。
第六：我们检查现在PING的情况。在CMD命令行下：PING CHOK888.VICP.NET 显示PING探测超时
结果。现在服务器可以防止ICMP数据包的攻击了。
（注意事项：设置好后，在本机PING自己是会PING通的，因为IP策略只对外部IP发来的ICMP数据
包进行过滤，可以让网上的朋友PING下你就知道咯~~~~这时你也不能PING外部域名，如果需要
PING ，选择不指派即可。）
教程完毕。

本类下载排行

WIN2000 WEB服务器防止ICMP数据包攻击