伪装攻击IP地址的洪水Ping攻击详解

Ping是通过发送ICMP报文(类型8代码0)探寻网络主机是否存在的一个工具，很久以前，一部分操作系统(例如win95)，不能很好处理过大的Ping包，导致出现了Ping to Death的攻击方式(用大Ping包搞垮对方或者塞满网络)，随着操作系统的升级，网络带宽的升级、计算机硬件的升级。

成都创新互联公司网站设计，为客户量身定制各类网站建设业务，包括企业型、电子商务型、响应式网站、行业门户型等各类网站，实战经验丰富，成功案例众多。以客户利益为出发点，成都创新互联公司网站制作为客户规划、定制制作符合企业需求、带有营销价值的网络建站方案认真对待每一个客户，我们不用口头的语言来吹擂我们的优秀，上1000+的成功案例见证着我们的成长。

目前，大Ping包基本上没有很大的攻击效果(分布式攻击除外)，如果一定要使用Ping包去攻击别的主机，除非是利用TCP/IP协议的其他特性或者网络拓扑结构的缺陷放大攻击的力度(所谓正反馈)

正常情况下，Ping的流程是这样的：

主机A发送ICMP 8,0报文给主机B

主机B回送ICMp 0,0报文给主机A

因为ICMP基于无连结，所以就给了我们可乘之机，假设现在主机A伪装成主机C发送ICMP 8,0报文，结果会怎么样呢?显然，主机B会以为是主机C发送的报文而去回应主机C，结构如下：

伪装为主机C 错误的回复主机A--------------------->主机B------------------>主机C

这种情况下，由于主机A只需要不断发送Ping报文而不需要处理返回的EchoReply，所以攻击力度成倍的增加，同时实际上主机B和主机C都是被进攻的目标，而且不会留下自己的痕迹，是一种隐蔽的一石二鸟的攻击方法。

上面的方法用SOCK_RAW伪装IP就可以轻松实现，不过即使放大了两倍，对于比较强壮的操作系统和较大的带宽，也不见得有多大的效果，难道我们又来组织运动?不好吧，还是让敌人给我们放大好了，TCP/IP中有一个概念叫做广播。

所谓广播的意思是说有一个地址，任何局域网内的主机都会接收发往这个地址的报文(就像电台广播一样)，如果我们往广播地址发送一个ICMP ECHO报文(就是Ping广播地址一下)，结果会得到非常多的回应。

以太网内每一个允许接收广播报文的主机都会回应一个ICMP_ECHOREPLY，如果你想试验，可以在unix的机器上Ping一下你局域网的广播地址，会看到很多回应的的dup包，就是重复的应答。

windows系统上不会有这样的结果，因为微软的Ping程序不对多个回应进行解包，收到第一个包以后就丢弃后面的了，同样微软的系统默认也不回应广播地址的包，所以你最好在一个大量unix主机的局域网内测试。

当我们伪装成被攻击主机向一个广播地址发送Ping请求的时候，所有这个广播地址内的主机都会回应这个Ping请求，这样，相当于是N倍的攻击力度!(N=广播地址内回应Ping包的主机数量)

伪装为主机C 所有广播主机都会错误的回复

主机A--------------------->广播地址=========================>主机C

FakePing的工具，可以在Http://www.patching.net/shotgun/FakePing.exe下载。

使用方法是FakePing.exe　FakeIP　TargetIP [PacketSize]，如果TargetIP是广播地址，那么FakeIP是被攻击目标。

IP地址的洪水Ping攻击的过程就已经向大家介绍完了，至于代码部分，我们会在以后的文章中为大家整理出来。

【编辑推荐】

1. 如何抓住黑客入侵Windows系统
2. 如何抓住黑客入侵Windows系统 续
3. 如何通过视觉分析改进IT网络安全

新闻名称：伪装攻击IP地址的洪水Ping攻击详解
文章起源：http://www.shufengxianlan.com/qtweb/news34/92434.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联