1、ICMP重定向概念:
ICMP重定向技术,是用来提示主机改变自己的主机路由从而使路由路径最优化的一种ICMP报文。其概念理解的要义是原主机路由不是最佳路由,而其默认网关提醒主机优化自身的主机路由而发送的报文。
最能说明ICMP重定向意义的典型拓扑如下:
2、ICMP重定向细节:
(1)报文格式:
|
帧首部 |
IP首部 |
ICMP重定向首部 |
ICMP重定向数据 |
ICMP重定向负载部分
|
类型:5 |
代码:0(0~3) |
校验和 |
|
建议使用的最优路由next-hop地址 |
||
|
IP首部 |
||
|
IP报文有效载荷的前8bytes |
||
代码0~3代表的含义:
|
代码 |
描述 |
|
0 |
网络重定向 |
|
1 |
主机重定向 |
|
2 |
服务匹配条件下网络重定向 |
|
3 |
服务匹配条件下主机重定向 |
·建议使用的最优路由地址:
路由器或其他网关类设备的接口地址。
·IP首部:
原ICMP报文IP报头。
·IP报文有效载荷的前8bytes:
原ICMP报文中的类型、代码、校验、序列号等字段。
(2)发生条件:
·数据包的入接口和路由后的指定的出接口是同一个接口。
·数据包的源IP地址和该包应走的下一跳IP属于同一网段。
·数据报非源路由的(这种情况应该比较少见了,源路由多见于Token Ring)。
·系统开启重定向功能。
·受到ICMP重定向攻击。
(3)系统响应:
·大部分windows系列OS会选择添加一条主机路由作为默认动作。
·部分UNIX系列和UNIX-LIKE系列OS同样选择添加一条主机路由作为默认动作。
·部分UNIX系列和UNIX-LIKE系列OS以及一般而言绝大多数路由类网络设备会忽略。
·Linux等可以作为路由器的OS针对ICMP重定向有着不同的标准动作选择。
3、ICMP重定向应用:
(1)单纯的提供路由优化选项建议。
(2)定向改变数据流传输路由路径。
(3)通过优化路由改善服务的质量。
(4)进行非法的网络攻击入侵行为。
4、ICMP重定向攻击:
从安全的角度来讲,ICMP重定向报文没有协议状态检查,以及合法性机制验证,十分类似ARP报文,可以轻而易举的进行欺骗攻击。
当然不同的操作系统对于受到的ICMP重定向报文也会按照自己的一些标准进行过滤,例如Windows之接受来自其自身默认网关的ICMP重定向报文,其余来源ICMP重定向报文则被丢弃,但伪造网关发送报文十分容易。
ICMP攻击可以达到的目的:流量的嗅探劫持、中间人代理权(这两点差不多)
举例说明:
·拓扑如下:
过程说明:
(1)正常时,user通过交换机Switch连接到网关设备Gateway,利用默认网关与跨网段的 服务器Server通信。
(2)异常情况下,攻击者Attacker可以伪造网关向user发送ICMP重定向报文,可以结合 ARP欺骗技术,然后用户user主机路由变成流量要通过Attacker来进行转发通信。
(3)攻击者可以截获、提取、分析、修改、重放用户user的数据包,造成多种安全威胁。
5、ICMP重定向防御:
(1)网关端:
·关闭ICMP重定向(no ip redirects)。
·变长子网掩码划分网段。
·使用网络控制列表(ACL)和代理。
(2)主机端:
可以使用防火墙等过滤掉ICMP报文,或使用反间谍软件监控。