Unix类操作系统的TCP/IP堆栈加固之ICMP协议部分

TCP/IP 堆栈负责处理传入和传出 IP 数据包，并将数据包的数据路由到要处理这些数据的应用程序。由于自身的缺陷、网络的开放性以及黑客的攻击是造成互联网络不安全的主要原因。TCP/IP作为Internet使用的标准协议集，是黑客实施网络攻击的重点目标。

ICMP是专门用作逻辑错误和诊断的信使。RFC792对它作了详细的阐述。任何IP网络设备都有发送、接收或运作ICMP消息的功能。虽然ICMP的设计者没有考虑今天出现的安全性问题，但是他们已经设计了一些能使ICMP更有效运作的基本准则。

为了确保ICMP消息不会淹没IP网络，ICMP没有任何特别的优先级，它总是一种常规流量。

ICMP消息作为其他ICMP消息的响应而发送。这个设计机制是为了防止出现一个错误消息不断地重复制造出另一个错误消息。否则，它就真的是个大问题了。

ICMP不能作为多播或广播流量的响应而发送。

针对ICMP协议的攻击包括：

目的地不可到达攻击属于拒绝服务攻击 ：ICMP 目的地不可到达消息向尝试转发消息的网关提供了一种工具，用来通知发送方：因为在数据报目的地地址中指定的主机不可到达，所以无法传递该消息。

Smurf 攻击属于拒绝服务攻击 ：Smurf 攻击是拒绝服务攻击的一种非常可怕的形式，因为它具有放大效应。Smurf 攻击利用 ICMP 回应消息。

1.禁用ICMP回声广播活动

AIX 5  
 
#no -o directed_broadcast=0 
 
FreeBSD 5-7  
 
#sysctl -w net.inet.icmp.bmcastecho=0 
 
HP-UX 10  
 
#ndd -set /dev/ip ip_respond_to_echo_broadcast 0  
 
#ndd -set /dev/ip ip_forward_directed_broadcasts 0  
 
Linux2.4-2.6 #sysctl -w net.ipv4.icmp_echo_ig#nore_broadcasts=1 
 
OpenBSD3-4 已经是缺省设置  
 
Solaris 8-10  
 
#ndd -set /dev/ip ip_respond_to_echo_broadcast 0  
 
#ndd -set /dev/ip ip6_respond_to_echo_multicast 0  
 
#ndd -set /dev/ip ip_forward_directed_broadcasts 0 

否则你的系统可能成为Smurf攻击者的工具。Smurf攻击是以最初发动这种攻击的程序名“Smurf”来命名的。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。

Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。

2.禁用ICMP路由重定向

AIX5  
 
#no -o ipig#noreredirects=1 
 
#no -o ipsendredirects=0 
 
FreeBSD 5-7  
 
#sysctl -w net.inet.ip.redirect=0 
 
#sysctl -w net.inet.ip6.redirect=0 
 
HP-UX 10  
 
#ndd -set /dev/ip ip_send_redirects  
 
0#ndd -set /dev/ip ip_forward_directed_broadcasts 0  
 
Linux2.4-2.6  
 
#sysctl -w net.ipv4.conf.all.accept_redirects=0 
 
#sysctl -w net.ipv6.conf.all.accept_redirects=0 
 
#sysctl -w net.ipv4.conf.all.send_redirects=0 
 
#sysctl -w net.ipv6.conf.all.send_redirects=0 
 
OpenBSD3-4  
 
#sysct

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!