IGMP(Internet Group Management Protocol)是IP主机用作向相邻多目路由器报告多目组成员。多目路由器是支持组播的路由器,向本地网络发送IGMP查询。主机通过发送IGMP报告来应答查询。组播路由器负责将组播包转发到所有网络中组播成员。
可以发送畸形的igmp包来导致系统tcp-ip栈崩溃.
最常用的igmp攻击就是伪造一个目的地址是单个ip, 但ip上层协议指定为IGMP,系统会为你打造一个igmp报头, 因为组播使用D类地址,所以系统不知如何处理,造成崩溃.
ICMP:关闭时无法进行PING的操作,即别人无法用PING的方法来确定你的存在。
当有ICMP数据流进入机器 时,除了正常情况外一般是有人利用专门软件进攻你的机器,这是一种在Internet上比较常见的攻击方式之一。 主要分为Flood攻击和Nuke攻击两类。
ICMP Flood攻击通过产生大量的ICMP数据流以消耗您的计算机的CPU资 源和网络的有效带宽,使得您的计算机服务不能正常处理数据,进行正常运作;
ICMP Nuke攻击通过Windows的 内部安全漏洞,使得连接到互联网络的计算机在遭受攻击的时候出现系统崩溃的情况,不能再正常运作。也就是 我们常说的蓝屏炸弹。该协议对于普通用户来说,是很少使用到的,建议关掉此功能。
---------------------------------------------
ICMP和IGMP
internet控制消息协议ICMP是用于报告错误并代表IP对消息进行控制。
IP运用互联组管理协议IGMP来告诉路由器,某一网络上指导组中的可用主机。
ICMP ICMP源抑制消息:当TCP/IP主机发送数据到另一主机时,如果速度达到路由器或者链路的饱和状态,路由器发出一个ICMP源抑制消息。 ICMP数据包结构类型:一个8位类型字段,表示ICMP数据包类型。代码:一个8位代码域,表示指定类型中的一个功能。如果一个类型中只有一种功能,代码域置为0。检验和:数据包中ICMP部分上的一个16位检验和。指定类型的数据随每个ICMP类型变化的一个附加数据。
IGMP IGMP信息传给别的路由器以使每个支持多路广播的路由器获知哪个主机组和哪个网络中。 IGMP包结构版本:IGMP的版本,值一般为0x1h。类型:IGMP消息的类型。0x1h类型称为主机成员请求,在多路广播路由器上用于指定多级组中的任何成员轮询一个网络。0x2h类型称为主机成员报告,在主机上用于发布指定组中的成员情况或对一个路由器的主机成员请求进行回答。未用:未用的域名被发送者置零且被接收者忽略。检验和:IGMP头的一个16位检验和。组地址:主机用该组地址在一个主机成员请求中存储IP多路广播地址。在主机成员请求中,组地址被全置零,而且硬件级的多路广播地址被用来标示主机组。
--------------------------------------------------------------
IGMP(互联网组管理协议)是一种互联网协议,提供这样一种方法,
使得互联网上的主机向临近路由器报告它的广播组成员。 广播使得互联网上的一个主机向网上确认对 于源主机发送内容感兴趣的计算机发送信息。
IGMP(Internet Group Message Protocol):Internet组管理协议,提供internet网际多点传送的功能,即将一个ip包拷贝给多个host,windows系列采用了这个协议,因为此响技术 尚不成熟,因此被一些人用来攻击windows系统,尤其是对win98,因为对win95有oob攻击.
受到IGMP攻击的症状是首先出现蓝屏,然后网速变得极慢,有的甚至鼠标,键盘均不管用. 非得重起不可. 因为此协议是ipx/spx里的,因此只能炸局域网,如有ipx路由可炸得远点.
IGMP的本义是为了使路由器觉察到本地主机组的存在而使用的一个协议,因此一般只有路由发的igmp包是可以接受的.
IGMP的工作过程如下:
一. 当主机加入一个新的工作组时,它发送一个igmp host membership report的抱文给全部主机组,宣布此成员关系.本地多点广播路由器接受到这个报文后,向Internet上的其他多路广播路由器传播这个关系信息,建立必要的路由.与此同时,在主机的网络接口上将ip主机组地址映射为mac地址,并重新设置地址过滤器.
二. 为了处理动态的成员关系,本地多路广播路由器周期性的轮询本地网络上的主机,以便确定在各个主机组有哪些主机,这个轮询过程是通过发送igmp host membership query报文来实现的,这个报文发送给全部主机组,且报文的ttl域设为1,以确保报文不会传送到lan以外.收到报文的主机组成员会发送响应报文.如果所有的主机组成员同时响应的话,就可能造成网络阻塞.IGMP协议采用了随机延时的方法来避免这个情况.这样就保证了在同一时 刻每个主机组中只有一个成员在发送响应报文.
★IGMP(Internet Group Message Protocol)是一个尚处于实验阶段的协议,提供Internet网际多点传送的功能,即将一个IP包的拷贝传给多个host.
Windows98和windows2000都采用了这个不太成熟的协议,在这两个平台内,这个多点传送的协议的应用容易引起Tcp/IP堆栈的阻塞,从而引发了一个目前没有补丁的新攻击. 这种攻击能使对方的机器蓝屏甚至是重启,但我个人认为实际意义不大。
IGMP其工作原理引用goodwell的原句如下:Windows 95, 98 and Windows 2000's TCP/IP stacks were not built to tolerate malformed IGMP (Internet Group Management Protocol)headers. When one is received, the stack will fail with unpredictable results ranging from a Blue Screen to instantaneous reboot
WIN95,WIN98的NMPI协议有个BUG,可以炸死机(炸后毫无反映,鼠标键盘都不管用)。
因为此协议是IPX/SPX协议里面的,所以只能炸内部网的,如果有IPX路由可能可以炸得远点。如果没有安装IPX/SPX协议或者没有IPX/SPX协议绑定MICROSOFT客户可能不能炸。此BUG与原来的一些BUG很不一样,不是包中哪个字段非法,造成非法访问或者溢出破坏系统,是因为此协议的回复包与此协议包没多少区别造成(没有字段指明是这种包还是回复包,其他的协议一般都有字段指明),此死机包关键就是伪造机器名和网卡地址MAC2,造成受攻击机器收到包后的回复包又是受攻击机器本身,而回复包因为包没有字段表明是回复包,所以查到机器名是自己(此协议就是以机器名识别是不是该接收)又回复包,所以就造成发包的死循环,而这处理是在VXD中就是系统内核中,所以不能切换任务处理键盘鼠标等,也就是死机毫无反应了。
阅读(1097) | 评论(0) | 转发(0) |