icmp木馬手機怎麼防禦

一、攻擊實現

1、ICMP轉向連線攻擊

攻擊者主要是使用ICMP【時間超出】或【目標地址無法連線】的訊息。這兩種ICMP訊息都會導致一臺主機迅速放棄連線。攻擊只需偽造這些ICMP訊息中的一條，併發送給通訊中的兩臺主機或其中的一臺，就可以利用這種攻擊，接著通訊連線就會被切斷。

當其中一臺主機錯誤地認為資訊的目標地址不在本地網路中的時候，閘道器通常會使用ICMP轉向訊息。如果攻擊者偽造出一條轉向訊息，它就可以導致另外一臺主機經過攻擊者主機向特定連線傳送資料包。

2、ICMP資料包放大

攻擊者向安全薄弱網路所廣插的地址傳送偽造的ICMP響應資料包，然後都向受害主機系統傳送ICMP響應的答覆資訊，佔用了目標系統的可用頻寬並導致合法通訊的服務拒絕。

3、死Ping攻擊

由於早期路由器對包的最大尺寸都有限制，許多作業系統對 TCP/IP的實現在ICMP包上都是規定64KB，並且在對包的標題頭進行讀取之後，要根據該標題頭裡包含的資訊來為有效載荷生成緩衝區，當產生尺寸超過ICMP上限的包，也就是載入的尺寸超過64KB上限時，就會出現記憶體分配錯誤，導致 TCP/IP崩潰，致使接收方宕機。

4、ICMP Ping淹沒攻擊

大量的Ping資訊廣播淹沒了目標主機的系統，使得它不能夠對合法的通訊作出響應。

5、ICMP nuke攻擊

nuke傳送出目標主機的作業系統無法處理的資訊資料包，從而導致該系統宕機。

6、通過ICMP進行攻擊資訊收集

通過Ping命令來檢查目標主機是否存活，依照返回的TTL值判斷目標主機作業系統。

二、ICMP攻擊的防禦方式

1、對ICMP資料包進行過濾

雖然很多主機防火牆可以對ICMP資料包進行過濾，但對於沒有安裝防火牆的主機，可以使用系統自帶的防火牆和安全策略對ICMP進行過濾。

2、修改TTL值

許多入侵者會通過Ping目標主機，用目標返回TTL值來判斷對方作業系統。既然入侵者相信T TL值所反映出來的結果，那麼只要修改TTL值，入侵者就無法得知目標主機作業系統了。