目录：

• 1、UDP、TCP、ICMP攻击原理？
• 2、局域网里的IGMP ICMP 类型攻击是什么？有什么危害
• 3、经常被ICMP数据包攻击
• 4、什么叫ICMP攻击？at命令怎样使用？
• 5、ICMP攻击是怎么回事
• 6、电脑被人疯狂发送ICMP数据包我该怎么办？谢谢了，大神帮忙啊

UDP、TCP、ICMP攻击原理？

ICMP攻击就是Ping就是利用ICMP协议走的。大量的ping 就是ICMP碎片攻击。

TCP攻击，TCP连接的三次握手特性来进行，一般有SYN ACK FIN NULL FIN+URG+PUSH 由于TCP协议很多。所以攻击的方式也很多。有开放性的，有半开放的。都是利用三次握手，中途突然终断。造成拒绝服务。

UDP攻击，多是了利用和ICMP进行的组合进行，比如SQL SERVER，对其1434端口发送‘x02’或者‘x03’就能够探测得到其连接端口。我想你听说过阿拉丁UDP洪水吧。就是这个道理，UDP是最难防御的。只可意会不可言传。

局域网里的IGMP ICMP 类型攻击是什么？有什么危害

IGMP是一种 *** 协议，windows系统有一个漏洞:

ICMP 被 IP 层用于向一台主机发送单向的告知性消息。在 ICMP 中没有验证机制，这就导致了使用 ICMP 可以造成服务拒绝的攻击，或者可以支持攻击者截取数据包。 支持路径 MTU—允许向内发送 ICMP 零碎DF-整套消息，它就可以导致另外一台主机经过攻击者主机向特定连接发送数据包：

支持 PING —允许向外发送 ICMP 响应请求，并允许向内发送响应答复消息。 支持路径追踪—允许向内发送 TTL -超出和端口无法连接的消息。

ICMP PING 淹没攻击。攻击只需伪造这些 ICMP 消息中的一条，并发送给通信中的两台主机或其中的一台，占用了目标系统的可用带宽并导致合法通信的服务拒绝（DoS）。另外，你需要按照如下的 *** 对 ICMP 参数进行设置后就可以在服务与安全之间合理地保持平衡。

经常被ICMP数据包攻击

现在许多防火墙在默认情况下都启用了ICMP过滤的功能。如果没有启用，只要选中“防御ICMP攻击”、“防止别人用ping命令探测”就可以了。

还可以利用TCP/IP筛选和组策略：

之一步：打开在电脑的桌面，右键点击“网上邻居→属性→本地连接→属性→Internet协议（TCP/IP）→属性→高级→选项-TCP/IP筛选-属性”。

第二步：“TCP/IP筛选”窗口中，点击选中“启用TCP/IP筛选（所有适配器）”。然后分别在“TCP端口、UDP端口和IP协议”的添加框上，点击“只允许”，后按添加按钮，然后在跳出的对话框输入端口，通常我们用来上网的端口是：80、8080，而邮件服务器的端口是：25、110，FTP的端口是20、21，同样将UDP端口和IP协议相关进行添加。

第三步：打开“控制面板→管理工具→本地安全策略”，然后右击“IP安全策略，在本地机器”选“管理IP筛选器和IP筛选器操作”，在管理IP筛选器和 IP筛选器操作列表中添加一个新的过滤规则，名称输入“防止ICMP攻击”，然后按添加，在源地址选任何IP地址，目标地址选我的IP地址，协议类型为 ICMP，设置完毕。

第四步：在“管理筛选器操作”，取消选中“使用添加向导”，添加，在常规中输入名字“Deny的操作”，安全措施为“阻止”。这样我们就有了一个关注所有进入ICMP报文的过滤策略和丢弃所有报文的过滤操作了。

第五步：点击“IP安全策略，在本地机器”，选择“创建IP安全策略-下一步-输入名称为ICMP过滤器”，通过增加过滤规则向导，把刚刚定义的“防止 ICMP攻击”过滤策略指定给ICMP过滤器，然后选择刚刚定义“Deny的操作”，然后右击“防止ICMP攻击”并启用。

至于IGMP攻击，更好把系统升级到XP。此外还有一个办法：用DEBUG或者可以编辑16进制的软件，打开文件VIP.386，找16进制代码 6A 02 E8 找到把 02 改成F2就可以。 原理是那儿代码是安装IGMP协议的（那02就是IP协议里面的IGMP，01是ICMP，06是TCP，11是UDP），改成F2就是协议类型安装成了F2，那样02 就不是解释成IGMP协议了，其实这样大致就是把IGMP协议关了，因为单机根本就可以不要IGMP协议的，所以没什么影响。

什么叫ICMP攻击？at命令怎样使用？

ICMP协议是TCP/IP协议集中的一个子协议，属于 *** 层协议，主要用于在主机与路由器之间传递控制信息，包括报告错误、交换受限控制和状态信息等。当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时，会自动发送ICMP消息。我们可以通过Ping命令发送ICMP回应请求消息并记录收到ICMP回应回复消息，通过这些消息来对 *** 或主机的故障提供参考依据。

ICMP协议本身的特点决定了它非常容易被用于攻击 *** 上的路由器和主机.

比如，可以利用操作系统规定的ICMP数据包更大尺寸不超过64KB这一规定，向主机发起“Ping of Death”（死亡之Ping）攻击。“Ping of Death” 攻击的原理是：如果ICMP数据包的尺寸超过64KB上限时，主机就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使主机死机。

此外，向目标主机长时间、连续、大量地发送ICMP数据包，也会最终使系统瘫痪。大量的ICMP数据包会形成“ICMP风暴”，使得目标主机耗费大量的CPU资源处理，疲于奔命。

AT这个命令的作用是安排在特定日期或时间执行某个特定的命令和程序（知道net time的重要了吧？）。当我们知道了远程主机的当前时间，就可以利用此命令让其在以后的某个时间（比如2分钟后）执行某个程序和命令。用法：at time command \\\\computer。

表示在6点55分时，让名称为a-01的计算机开启telnet服务（这里net start telnet即为开启telnet服务的命令）。

ICMP攻击是怎么回事

ICMP的全称是 Internet Control Message Protocol 。从技术角度来说，ICMP就是一个“错误侦测与回报机制”，其目的就是让我们能够检测网路的连线状况，也能确保连线的准确性，其功能主要有：

· 侦测远端主机是否存在。

· 建立及维护路由资料。

· 重导资料传送路径。

· 资料流量控制。

ICMP常用类型

ICMP常用类型 ICMP在沟通之中，主要是透过不同的类别(Type)与代码(Code) 让机器来识别不同的连线状况。常用的类别如下表所列：

ICMP 是个非常有用的协定，尤其是当我们要对网路连接状况进行判断的时候。下面让我们看看常用的 ICMP 实例，以更好了解 ICMP 的功能与作用.

TCP/IP协议介绍

TCP/IP的通讯协议

这部分简要介绍一下TCP/IP的内部结构，为讨论与互联网有关的安全问题打下基础。TCP/IP协议组之所以流行，部分原因是因为它可以用在各种各样的信道和底层协议（例如T1和X.25、以太网以及RS-232串行接口）之上。确切地说，TCP/IP协议是一组包括TCP协议和IP协议，UDP（User Datagram Protocol）协议、ICMP（Internet Control Message Protocol）协议和其他一些协议的协议组。

TCP/IP整体构架概述

TCP/IP协议并不完全符合OSI的七层参考模型。传统的开放式系统互连参考模型，是一种通信协议的7层抽象的参考模型,其中每一层执行某一特定任务。该模型的目的是使各种硬件在相同的层次上相互通信。这7层是:物理层、数据链路层、网路层、传输层、话路层、表示层和应用层。而TCP/IP通讯协议采用了4层的层级结构，每一层都呼叫它的下一层所提供的 *** 来完成自己的需求。这4层分别为：

应用层：应用程序间沟通的层，如简单电子邮件传输（ *** TP）、文件传输协议（FTP）、 *** 远程访问协议（Telnet）等。

传输层：在此层中，它提供了节点间的数据传送服务，如传输控制协议（TCP）、用户数据报协议（UDP）等，TCP和UDP给数据包加入传输数据并把它传输到下一层中，这一层负责传送数据，并且确定数据已被送达并接收。

互连 *** 层：负责提供基本的数据封包传送功能，让每一块数据包都能够到达目的主机（但不检查是否被正确接收），如网际协议（IP）。

*** 接口层：对实际的 *** 媒体的管理，定义如何使用实际 *** （如Ethernet、Serial Line等）来传送数据。

TCP/IP中的协议

以下简单介绍TCP/IP中的协议都具备什么样的功能，都是如何工作的：

1． IP

网际协议IP是TCP/IP的心脏，也是 *** 层中最重要的协议。

IP层接收由更低层（ *** 接口层例如以太网设备驱动程序）发来的数据包，并把该数据包发送到更高层---TCP或UDP层；相反，IP层也把从TCP或UDP层接收来的数据包传送到更低层。IP数据包是不可靠的，因为IP并没有做任何事情来确认数据包是按顺序发送的或者没有被破坏。IP数据包中含有发送它的主机的地址（源地址）和接收它的主机的地址（目的地址）。

高层的TCP和UDP服务在接收数据包时，通常假设包中的源地址是有效的。也可以这样说，IP地址形成了许多服务的认证基础，这些服务相信数据包是从一个有效的主机发送来的。IP确认包含一个选项，叫作IP source routing，可以用来指定一条源地址和目的地址之间的直接路径。对于一些TCP和UDP的服务来说，使用了该选项的IP包好象是从路径上的最后一个系统传递过来的，而不是来自于它的真实地点。这个选项是为了测试而存在的，说明了它可以被用来欺骗系统来进行平常是被禁止的连接。那么，许多依靠IP源地址做确认的服务将产生问题并且会被非法入侵。

2. TCP

如果IP数据包中有已经封好的TCP数据包，那么IP将把它们向‘上’传送到TCP层。TCP将包排序并进行错误检查，同时实现虚电路间的连接。TCP数据包中包括序号和确认，所以未按照顺序收到的包可以被排序，而损坏的包可以被重传。

TCP将它的信息送到更高层的应用程序，例如Telnet的服务程序和客户程序。应用程序轮流将信息送回TCP层，TCP层便将它们向下传送到IP层，设备驱动程序和物理介质，最后到接收方。

面向连接的服务（例如Telnet、FTP、rlogin、X Windows和 *** TP）需要高度的可靠性，所以它们使用了TCP。DNS在某些情况下使用TCP（发送和接收域名数据库），但使用UDP传送有关单个主机的信息。

3.UDP

UDP与TCP位于同一层，但对于数据包的顺序错误或重发。因此，UDP不被应用于那些使用虚电路的面向连接的服务，UDP主要用于那些面向查询---应答的服务，例如NFS。相对于FTP或Telnet，这些服务需要交换的信息量较小。使用UDP的服务包括NTP（网落时间协议）和DNS（DNS也使用TCP）。

欺骗UDP包比欺骗TCP包更容易，因为UDP没有建立初始化连接（也可以称为握手）（因为在两个系统间没有虚电路），也就是说，与UDP相关的服务面临着更大的危险。

4.ICMP

ICMP与IP位于同一层，它被用来传送IP的的控制信息。它主要是用来提供有关通向目的地址的路径信息。ICMP的‘Redirect’信息通知主机通向其他系统的更准确的路径，而‘Unreachable’信息则指出路径有问题。另外，如果路径不可用了，ICMP可以使TCP连接‘体面地’终止。PING是最常用的基于ICMP的服务。

5. TCP和UDP的端口结构

TCP和UDP服务通常有一个客户/服务器的关系，例如，一个Telnet服务进程开始在系统上处于空闲状态，等待着连接。用户使用Telnet客户程序与服务进程建立一个连接。客户程序向服务进程写入信息，服务进程读出信息并发出响应，客户程序读出响应并向用户报告。因而，这个连接是双工的，可以用来进行读写。

两个系统间的多重Telnet连接是如何相互确认并协调一致呢？TCP或UDP连接唯一地使用每个信息中的如下四项进行确认：

源IP地址---发送包的IP地址。

目的IP地址---接收包的IP地址。

源端口---源系统上的连接的端口。

目的端口---目的系统上的连接的端口。

端口是一个软件结构，被客户程序或服务进程用来发送和接收信息。一个端口对应一个16比特的数。服务进程通常使用一个固定的端口，例如， *** TP使用25、Xwindows使用6000。这些端口号是‘广为人知’的，因为在建立与特定的主机或服务的连接时，需要这些地址和目的地址进行通讯。

ICMP校验和算法】

以下代码在Visual Studio 2008 + Windows 7下调试通过。

lpsz指定要计算的数据包首地址，_dwSize指定该数据包的长度。

int CalcCheckSum(char* lpsz,DWORD _dwSize)

{

int dwSize;

__a *** // 嵌入汇编

{

mov ecx,_dwSize

shr ecx,1

xor ebx,ebx

mov esi,lpsz

read: //所有word相加，保存至EBX寄存器

lodsw

movzx eax,ax

add ebx,eax

loop read

test _dwSize,1 //校验数据是否是奇数位的

jz calc

lod ***

movzx eax,al

add ebx,eax

calc:

mov eax,ebx //高低位相加

and eax,0ffffh

shr ebx,16

add eax,ebx

not ax

mov dwSize,eax

}

return dwSize;

}

电脑被人疯狂发送ICMP数据包我该怎么办？谢谢了，大神帮忙啊

重装系统是个好办法。 一、IPSec 添加屏蔽ICMP的规则： IP安全策略—管理IP筛选器表和筛选器操作—管理IP筛选器列表—添加—起个名称（比如：）---添加—下一步—源地址—任何IP地址—目标地址—我的IP地址—选择协议类型—ICMP—完成。 IP安全策略—管理IP筛选器表和筛选器操作—管理筛选器列表—添加—下一步—名称(比如：)—阻止—完成。 IP安全策略—创建IP安全策略—下一步—名称（比如：）--激活默认响应规则—Winxp默认值—完成-规则—添加—下一步—此规则不指定隧道—所有 *** 连接—Winxp默认值—IP筛选器列表—“ICMP”—“Block”—下一步—完成。 二、路由和远程访问： IP路由选择—常规—指定的网卡—输入筛选器—添加—协议—ICMP—类型8—编码0—接受所有除符合下列条件以外的数据包。 通过实验发现路由和远程访问的级别要高于IPSec什么软件发送icmp攻击，也就是说当两个设置发生冲突时，系统将以路由和远程访问的设置为准。 三、通过TTL简单关闭ICMP回应（转） 很多人问起如何在Windows xp中关闭ICMP的回应，以前我采取的办法是使用IPSec来对ICMP进行验证，今天偶尔作什么软件发送icmp攻击了一个试验，与大家share一下什么软件发送icmp攻击！ Client:192.168.7.89 Server:192.168.7.40 修改前： C:\scriptsping 192.168.7.40 Pinging 192.168.7.40 with 32 bytes of data: Reply from 192.168.7.40: bytes=32 time10ms TTL=128 Reply from 192.168.7.40: bytes=32 time10ms TTL=128 Reply from 192.168.7.40: bytes=32 time10ms TTL=128 Reply from 192.168.7.40: bytes=32 time10ms TTL=128 修改注册表，把DefaultTTL改成63，ping的结果 C:\scriptsping 192.168.7.40 Pinging 192.168.7.40 with 32 bytes of data: Reply from 192.168.7.40: bytes=32 time10ms TTL=63 Reply from 192.168.7.40: bytes=32 time10ms TTL=63 Reply from 192.168.7.40: bytes=32 time10ms TTL=63 Reply from 192.168.7.40: bytes=32 time10ms TTL=63 修改注册表，把DefaultTTL改成0，ping的结果 C:\scriptsping 192.168.7.40 Pinging 192.168.7.40 with 32 bytes of data: Request timed out. Request timed out. Request timed out. Request timed out. Ping statistics for 192.168.7.40: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms 而在192.168.7.40上，ping外面没有问题，但是不能对外提供服务什么软件发送icmp攻击了，同时，自己干什么也都不行了，就只能Ping了，嘿嘿，自己玩玩吧～（建议改成255，Linux,Solaris的好像大多是这个值，记得有人写过通过TTL来判断操作系统的，呵呵，骗骗人玩：） Hive: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters SubKey: DefaultTTL Value: REG_DWORD 1 - 255 Default: 128 改了以后要Reboot才会生效哦～ （注：该 *** 是给对方提供一个错误的信息，并不是真正屏蔽了ICMP包，文章来源：Adam） 四、在ISA里面设置： 关闭Ping(ICMP)：IP Packet Filters—起名--block packet tran *** ission—predefine—icmp ping query—default IP address for each external on the ISA server computer—all remote computer—完成。 五、使用个人防火墙软件： 一般的防火墙软件都会提供关闭ICMP的功能，只是有的强一些，有的弱一些，比如：天网、绿色警戒、中国墙、Norton、Etrust Wall、Zone Alarm、Black Ice、冰盾等等等等，专业的就更别说了。 可见，关闭ICMP协议的 *** 还是很多的