电脑IP地址被占用了,可以使用以下3种方法:
① 以win7为例,打开网络和共享中心,点击无线连接,属性,双击tcp\ipv4,手动设置ip地址。
② 或者计算机-属性-高级系统设置-计算机名-更改-重启计算机。
③ 前者是手动设置ip地址,后者可以在自动获取ip地址前提下,重启后会自动获取一个新地址。
网络之间互连的协议(IP)是Inter Protocol的外语缩写,中文缩写为“网协”。
网络之间互连的协议也就是为计算机网络相互连接进行通信而设计的协议。在因特网中,它是能使连接到网上的所有计算机网络实现相互通信的一套规则,规定了计算机在因特网上进行通信时应当遵守的规则。任何厂家生产的计算机系统,只要遵守IP协议就可以与因特网互连互通。IP地址具有唯一性,根据用户性质的不同,可以分为5类。另外,IP还有进入防护,知识产权,指针寄存器等含义。
2 局域网的IP地址被别人占用怎么办
解决办法:
首先你应该在TCP/IP属性窗口中确认一下,你选择的是自动获得IP 还是使用下面的IP地址即固定IP地址。
如果你选择的是自动获得IP ,那么就不存在被占用,因为IP地址是由DHCP 服务器 随机从地址池中分配的,当你没在用的时候,DHCP服务器会将空闲的IP地址分配给需要使用的PC 机,当你需要使用时,DHCP 服务器会另外分个IP给你,那个IP并非你所专有。
如果是固定IP,那么在局域网内好像不可避免,人为的因素比较大,你可以试着换个IP。
扩展资料:
在一个局域网中,有两个IP地址比较特殊,一个是网络号,一个是广播地址。网络号是用于三层寻址的地址,它代表了整个网络本身;另一个是广播地址,它代表了网络全部的主机。网络号是网段中的第一个地址,广播地址是网段中的最后一个地址,这两个地址是不能配置在计算机主机上的。
例如在19216800这样的网段中,网络号是19216800,广播地址是1921680255。因此,在一个局域网中,能配置在计算机中的地址比网段内的地址要少两个(网络号、广播地址),这些地址称之为主机地址。在上面的例子中,主机地址就只有19216801至1921680254可以配置在计算机上了。电脑IP地址被占用了,可以使用以下3种方法:
① 以win7为例,打开网络和共享中心,点击无线连接,属性,双击tcp\ipv4,手动设置ip地址。
② 或者计算机-属性-高级系统设置-计算机名-更改-重启计算机。
③ 前者是手动设置ip地址,后者可以在自动获取ip地址前提下,重启后会自动获取一个新地址。
网络之间互连的协议(IP)是Internet Protocol的外语缩写,中文缩写为“网协”。
网络之间互连的协议也就是为计算机网络相互连接进行通信而设计的协议。在因特网中,它是能使连接到网上的所有计算机网络实现相互通信的一套规则,规定了计算机在因特网上进行通信时应当遵守的规则。任何厂家生产的计算机系统,只要遵守IP协议就可以与因特网互连互通。IP地址具有唯一性,根据用户性质的不同,可以分为5类。另外,IP还有进入防护,知识产权,指针寄存器等含义。
目前来说解决服务器被DDOS攻击最常见的办法就是使用硬件防火墙了,也就是我们常说的高防服务器,高防服务器都会带有一定量的硬防,或大或小。
1、定期扫描
要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。
2、在骨干节点配置防火墙
防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的,或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。
3、用足够的机器承受黑客攻击
这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿了。不过此方法需要投入的资金比较多,平时大多数设备处于空闲状态,和目前中小企业网络实际运行情况不相符。
4、充分利用网络设备保护网络资源
所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备,这样当一台路由器被攻击死机时,另一台将马上工作。从而最大程度的削减了DdoS的攻击。
5、过滤不必要的服务和端口
过滤不必要的服务和端口,即在路由器上过滤假IP……只开放服务端口成为目前很多服务器的流行做法,例如>
6、检查访问者的来源
使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。因此,利用Unicast Reverse Path Forwarding可减少假IP地址的出现,有助于提高网络安全性。
7、过滤所有RFC1918 IP地址
RFC1918 IP地址是内部网的IP地址,像10000、19216800 和1721600,它们不是某个网段的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。此方法并不是过滤内部员工的访问,而是将攻击时伪造的大量虚假内部IP过滤,这样也可以减轻DdoS的攻击。
8、限制SYN/ICMP流量
用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法,虽然目前该方法对于DdoS效果不太明显了,不过仍然能够起到一定的作用。
1、首先你应该在TCP/IP属性窗口中确认一下,你选择的是自动获得IP 还是使用下面的IP地址即固定IP地址。2、如果你选择的是自动获得IP ,那么就不存在被占用,因为IP地址是由DHCP 服务器 随机从地址池中分配的,当你没在用的时候,DHCP服务器会将空闲的IP地址分配给需要使用的PC 机,当你需要使用时,DHCP 服务器会另外分个IP给你,那个IP并非你所专有。
3、如果是固定IP,那么在局域网内好像不可避免,人为的因素比较大,你可以试着换个IP。当我们发现服务器被攻击的时候不要过度惊慌失措,先查看一下网站服务器是不是被黑了,找出网站存在的黑链,然后做好网站的安全防御,开启IP禁PING,可以防止被扫描,关闭不需要的端口。这些是只能防简单的攻击,对于大流量DDOS攻击,必须要有足够的带宽和防火墙配合起来才能防御,你的防御能力大于攻击者的攻击流量那就防住了。不过单独硬防的成本挺高的,企业如果对成本控制有要求的话可以选择墨者安全的集群防护,防御能力是很不错的,成本也比阿里云网易云这些大牌低。第一步,点击开始设置\控制面板\管理工具,双击打开本地安全策略,选中IP安全策略,在本地计算机,在右边窗格的空白位置右击鼠标,在d出的快捷菜单里选择创建IP安全策略,这样d出一个向导。在向导中点击下一步按钮,为新的安全策略命名(不重新命名也可以,以下都以未重新命名的为例);再按下一步,显示安全通信请求画面,在画面上把激活默认相应规则左边的钩取消,点击完成按钮就创建了一个新的IP安全策略。第二步,右击该IP安全策略,在属性对话框中,把使用添加向导左边的钩取消,然后单击添加按钮添加新的规则,随后d出新规则属性对话框。在对话框中点击添加按钮,d出IP筛选器列表窗口;在列表中,同样把使用添加向导左边的钩取消掉,然后再点击右边的添加按钮添加新的筛选器。第三步,进入了筛选器属性对话框,首先看到的是寻址,源地址选任何IP地址,目标地址选我的IP地址;点击协议选项卡,在选择协议类型的下拉列表中选择TCP,然后在到此端口下的文本框中输入135,点击确定按钮,这样就添加了一个屏蔽TCP135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。点击确定后回到筛选器列表的对话框,可以看到已经添加了一条策略。重复以上步骤继续添加TCP137、139、445、 593 端口和UDP135、139、445 端口,也可继续添加TCP1025、2745、3127、6129、3389 端口的屏蔽策略为它们建立相应的筛选器。最后点击确定按钮。第四步,在新规则属性对话框中,选择新IP 筛选器列表,然后点击其左边的圆圈上加一个点,表示已经激活,接着点击筛选器 *** 作选项卡,在筛选器 *** 作选项卡中,也把使用添加向导左边的钩取消,点击添加按钮,添加阻止 *** 作;在新筛选器 *** 作属性的安全措施选项卡中,选择阻止,然后点击确定。第五步、进入了新规则属性对话框,点击新筛选器 *** 作,其左边的圆圈会加了一个点,表示已经激活,点击关闭按钮,关闭对话框;最后回到新IP安全策略属性对话框,在新的IP筛选器列表左边打钩,按确定按钮关闭对话框。回到本地安全策略窗口,用鼠标右击新添加的IP安全策略,选择指派。重新启动后,电脑中上述网络端口就被关闭了,病毒和黑客再也不能连上这些端口,从而保护了我们的电脑。(有的用户管理员的密码为空,是不好的,这会让人有机可乘。另win9X与win2000/xp内核不一样,设置也不一样。3389端口大家也关掉 !方法1:关闭RPC服务由于通过135网络端口,只能远程运行一些通过DCOM技术开发出来的应用程序,而DCOM技术在通信过程中,需要用到RPC服务;因此如果将服务器中的RPC服务停用的话,就能达到禁用135网络端口的目的了。在禁用RPC服务时,可以依次单击"开始"/"程序"/"管理工具"/"服务"命令,在随后打开的"服务"列表中,双击其中的"Remote Procedure Call"选项,打开设置界面,将该界面的启动类型设置为"已禁用"选项,再单击一下"确定"按钮,服务器的RPC服务就会被暂时停用了。不过这种方法有很大的弊病,因为一旦将服务器的RPC服务停用的话,那么服务器将无法正常对外提供相关服务,比如数据库查询服务、远程登录服务等,因此这种方法只适合于普通的计算机,或者适合仅对外提供>一、什么是ICMP协议?
ICMP全称Internet Control Message Protocol(网际控制信息协议)。提起ICMP,一些人可能会感到陌生,实际上,ICMP与我们息息相关。在网络体系结构的各层次中,都需要控制,而不同的层次有不同的分工和控制内容,IP层的控制功能是最复杂的,主要负责差错控制、拥塞控制等,任何控制都是建立在信息的基础之上的,在基于IP数据报的网络体系中,网关必须自己处理数据报的传输工作,而IP协议自身没有内在机制来获取差错信息并处理。为了处理这些错误,TCP/IP设计了ICMP协议,当某个网关发现传输错误时,立即向信源主机发送ICMP报文,报告出错信息,让信源主机采取相应处理措施,它是一种差错和控制报文协议,不仅用于传输差错报文,还传输控制报文。
二、ICMP报文格式
ICMP报文包含在IP数据报中,属于IP的一个用户,IP头部就在ICMP报文的前面,所以一个ICMP报文包括IP头部、ICMP头部和ICMP报文(见图表,ICMP报文的结构和几种常见的ICMP报文格式),IP头部的Protocol值为1就说明这是一个ICMP报文,ICMP头部中的类型(Type)域用于说明ICMP报文的作用及格式,此外还有一个代码(Code)域用于详细说明某种ICMP报文的类型,所有数据都在ICMP头部后面。RFC定义了13种ICMP报文格式,具体如下:
类型代码 类型描述
0 响应应答(ECHO-REPLY)
3 不可到达
4 源抑制
5 重定向
8 响应请求(ECHO-REQUEST)
11 超时
12 参数失灵
13 时间戳请求
14 时间戳应答
15 信息请求(已作废)
16 信息应答(已作废)
17 地址掩码请求
18 地址掩码应答
其中代码为15、16的信息报文已经作废。
下面是几种常见的ICMP报文:
1响应请求
我们日常使用最多的ping,就是响应请求(Type=8)和应答(Type=0),一台主机向一个节点发送一个Type=8的ICMP报文,如果途中没有异常(例如被路由器丢弃、目标不回应ICMP或传输失败),则目标返回Type=0的ICMP报文,说明这台主机存在,更详细的tracert通过计算ICMP报文通过的节点来确定主机与目标之间的网络距离。
2目标不可到达、源抑制和超时报文
这三种报文的格式是一样的,目标不可到达报文(Type=3)在路由器或主机不能传递数据报时使用,例如我们要连接对方一个不存在的系统端口(端口号小于1024)时,将返回Type=3、Code=3的ICMP报文,它要告诉我们:“嘿,别连接了,我不在家的!”,常见的不可到达类型还有网络不可到达(Code=0)、主机不可到达(Code=1)、协议不可到达(Code=2)等。源抑制则充当一个控制流量的角色,它通知主机减少数据报流量,由于ICMP没有恢复传输的报文,所以只要停止该报文,主机就会逐渐恢复传输速率。最后,无连接方式网络的问题就是数据报会丢失,或者长时间在网络游荡而找不到目标,或者拥塞导致主机在规定时间内无法重组数据报分段,这时就要触发ICMP超时报文的产生。超时报文的代码域有两种取值:Code=0表示传输超时,Code=1表示重组分段超时。
3时间戳
时间戳请求报文(Type=13)和时间戳应答报文(Type=14)用于测试两台主机之间数据报来回一次的传输时间。传输时,主机填充原始时间戳,接收方收到请求后填充接收时间戳后以Type=14的报文格式返回,发送方计算这个时间差。一些系统不响应这种报文。
三、回到正题:这样的攻击有效吗?
在前面讲过了,ping使用的是ECHO应答,不知道大家注意过没有,ping的返回很慢,用NetXRAY抓包仅为1--5包/秒,这是为什么呢?事实上,ICMP本身并不慢(由于ICMP是SOCK_RAW产生的原始报文,速度比SOCK_STREAM的SYN和SOCK_DGRAM的UDP要快几乎10倍!),这样的速度是ping程序故意延迟的(为什么?M$可不想每个人都能用ping来干坏事),同样,我测试过一些号称“ping洪水”的程序,发现它们的效率和pingexe没什么两样,经过Dependency Walker查看程序调用的函数发现,他们用的是icmpdll提供的IcmpSendEcho这个API,这个函数是计算ECHO时间的,速度当然慢!而那两个“高手”号召的ping攻击实际上就是为了实现ICMP洪水攻击,但是他们用的方法……想想洪水的速度和山涧小溪的速度相差多少吧!就用pingexe和IcmpSendEcho这种小溪慢慢流淌的速度能做什么?还不是让人家看笑话!这种攻击根本就是浪费自己的时间!(如今还经常有人问ping -l 65500 -t的攻击威力如何……哎,悲哀啊悲哀……)
四、什么是ICMP洪水?
1ICMP洪水的成因
pingexe和IcmpSendEcho速度慢的另一个原因是它们必须等待目标主机返回REPLY信息,这个过程需要花费大量时间,而Flood——洪水,顾名思义,是速度极快的,当一个程序发送数据包的速度达到了每秒1000个以上,它的性质就成了洪水产生器,洪水数据是从洪水产生器里出来的,但这样还不够,没有足够的带宽,再猛的洪水也只能像公路塞车那样慢慢移动,成了鸡肋。要做真正的洪水,就需要有一条足够宽的高速公路才可以。极慢的发送速度+56Kbps小猫等于什么?等于一个未关紧的水龙头,根本没用。
由于pingexe无法提速,这就需要专门的工具来做洪水了。足够快的数据包速度+足够的带宽,这才是洪水。
2实现ICMP洪水的前提
最大的前提是攻击者的速度!如果你要用56K拨号去攻击一个512Kbps ADSL用户,后果和一只蚂蚁伸腿想绊倒大象的天方夜谭是一样的!其次是你的机器运行速度和数据吞吐量,由于涉及IP校验和的计算(先设置头校验和域的数值为0,然后对整个数据报头按每16位求异或,再把结果取反,就得到了校验和),如果数据处理能力不够,在这步就慢了一个级别,效果当然大打折扣。最后就是目标机器的带宽!如果对方比你大很多(例如你2M ADSL,别人用DDN或T1),那么任何Flood都是无病呻吟,挠痒都不够!(希望不要再问“小金,你的R-Series怎么不好用啊”、“我用小金的AnGryPing攻击别人半天都没事!”、“独裁者的攻击怎么无效啊?”这样的问题了,天啊,我头都大了!)
还有许多人都忽略的问题:发送的速度与数据包大小成反比,而且太大的数据包会被路由器等设备过滤掉!找到一个合适的数据包大小,对提高Flood的效率有很大帮助!
3洪水——两败俱伤的攻击方式
别以为洪水无所不能,实际上,你展开洪水攻击时,攻击程序在消耗对方带宽和资源时,也在消耗你的带宽和资源。这只是个看谁撑得住的攻击而已。实际上,有经验的攻击者都是用被控制的服务器(肉鸡)来代替自己的机器发动攻击的,不到万不得已或者你对自己的机器网速有自信,否则尽量少用自己的机器来拼搏!
五、不同方式的ICMP洪水
1直接Flood
要做这个的首要条件是你的带宽够,然后就是要一个好用的ICMP Flooder,别用pingexe那种探路用的垃圾,例如我以前发布的AnGryPing,发包速度达到6000---9000包/秒(512 Kbps ADSL),默认是32bytes的ECHO报文洪水,用它即使不能flood别人下去,防火墙也叫得够惨的了。直接攻击会暴露自己IP(如果对方没有还击能力那还无所谓,固定IP用户不推荐使用这种Flood),直接Flood主要是为了顾及Win9x/Me不能伪造IP的缺陷,否则一般还是别用为妙。
简单示意:
ICMP
攻击者[IP=21197543]--------------------------------->受害者[截获攻击者IP=21197543]==>换IP回来反击,嘿嘿
2伪造IP的Flood
如果你是Win2000/XP并且是Administrator权限,可以试试看FakePing,它能随意伪造一个IP来Flood,让对方摸不到头脑,属于比较隐蔽阴险的Flood。
简单示意:
伪造IP=1111的ICMP
攻击者[IP=21197543]--------------------------------->受害者[截获攻击者IP=1111]==>倒死
3反射
用采取这种方式的第一个工具的名称来命名的“Smurf”洪水攻击,把隐蔽性又提高了一个档次,这种攻击模式里,最终淹没目标的洪水不是由攻击者发出的,也不是伪造IP发出的,而是正常通讯的服务器发出的!
实现的原理也不算复杂,Smurf方式把源IP设置为受害者IP,然后向多台服务器发送ICMP报文(通常是ECHO请求),这些接收报文的服务器被报文欺骗,向受害者返回ECHO应答(Type=0),导致垃圾阻塞受害者的门口……
从示意图可以看出,它比上面两种方法多了一级路径——受骗的主机(称为“反射源”),所以,一个反射源是否有效或者效率低下,都会对Flood效果造成影响!
简单示意:
伪造受害者的ICMP 应答
攻击者[IP=21197543]-------------------------->正常的主机--------------->受害者[截获攻击者IP=……网易?!]==>哭啊……
以上是几种常见的Flood方式,在测试中,我发现一个有趣的现象:一些防火墙只能拦截ECHO请求(Ping)的ICMP报文,对于其他ICMP报文一概睁只眼闭只眼,不知道其他防火墙有没有这个情况。所以想神不知鬼不觉对付你的敌人时,请尽量避开直接ECHO Flood,换用Type=0的ECHO应答或Type=14的时间戳应答最好,其他类型的ICMP报文没有详细测试过,大家可以试试看Type=3、4、11的特殊报文会不会有更大效果。
六、ICMP Flood能防吗?
先反问你一个问题:洪水迅猛的冲来时,你能否拿着一个脸盆来抵挡?(坐上脸盆做现代鲁宾逊倒是个不错的主意,没准能漂到MM身边呢)
软件的网络防火墙能对付一些漏洞、溢出、OOB、IGMP攻击,但是对于洪水类型的攻击,它们根本无能为力,我通常对此的解释是“倾倒垃圾”:“有蟑螂或老鼠在你家门前逗留,你可以把它们赶走,但如果有人把一车垃圾倾倒在你家门口呢?”前几天看到mikespook大哥对此有更体面的解释,转载过来——“香蕉皮原理:如果有人给你一个香蕉和一个香蕉皮你能区分,并把没有用的香蕉皮扔掉。(一般软件防火墙就是这么判断并丢弃数据包的。)但是如果有人在同一时间内在你身上倒一车香蕉皮,你再能区分有用没用也没啥作用了~~因为你被香蕉皮淹没了~~~~(所以就算防火墙能区分是DoS的攻击数据包,也只能识别,根本来不及丢弃~~死了,死了,死了~~)”
所以,洪水没法防!能做的只有提高自己的带宽和预防洪水的发生(虽然硬件防火墙和分流技术能做到,但那价格是太昂贵的,而且一般人也没必要这样做)。
如果你正在被攻击,最好的方法是抓取攻击者IP(除非对方用第一种,否则抓了没用——假的IP)后,立即下线换IP!(什么?你是固定IP?没辙了,打电话找警察叔叔吧)
七、被ICMP Flood攻击的特征
如何发现ICMP Flood?
当你出现以下症状时,就要注意是否正被洪水攻击:
1传输状态里,代表远程数据接收的计算机图标一直亮着,而你没有浏览网页或下载
2防火墙一直提示有人试图ping你
3网络速度奇慢无比
4严重时系统几乎失去响应,鼠标呈跳跃状行走
如果出现这些情况,先不要慌张,冷静观察防火墙报警的频率及IP来确认是否普通的Ping或是洪水,做出相应措施(其实大多数情况也只能换IP了)。
1普通ping
这种“攻击”一般是对方扫描网络或用ping -t发起的,没多大杀伤力(这个时候,防火墙起的作用就是延迟攻击者的数据报发送间隔时间,请别关闭防火墙!否则后果是严重的!),通常表现如下:
==============================================================
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:24] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:26] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:30] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
=============================================================
这么慢的速度,很明显是由pingexe或IcmpSendEcho发出的,如果对方一直不停的让你的防火墙吵闹,你可以给他个真正的ICMP Flood问候。
2直接Flood
这是比较够劲的真正意义洪水了,防火墙的报警密度会提高一个数量级:
==============================================================
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:21] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:21] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:21] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:21] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:21] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:21] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:21] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:21] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
=============================================================
这时候你的防火墙实际上已经废了,换个IP吧。
3伪造IP的Flood
比较厉害的ICMP Flood,使用的是伪造的IP而且一样大密度,下面是the0crat用56K拨号对我的一次攻击测试的部分数据(看看时间,真晕了,这可是56K小猫而已啊)
=============================================================
[18:52:12] 1111 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[18:52:12] 1111 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[18:52:12] 1111 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[18:52:12] 1111 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[18:52:12] 1111 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[18:52:12] 1111 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[18:52:12] 1111 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[18:52:12] 1111 尝试用Ping 来探测本机,
该 *** 作被拒绝。
=============================================================
无言…………
4、反射ICMP Flood
估计现在Smurf攻击还没有多少人会用(R-Series的RSSEXE就是做这事的,RSAEXE和RSCEXE分别用作SYN反射和UDP反射),所以这种方法还没有大规模出现,但Smurf是存在的!而且这个攻击方法比前面几种更恐怖,因为攻击你的是大网站(或一些受苦受难的服务器)!
我正在被网易、万网和新浪网站攻击中(懒得修改策略,直接用其他工具抓的。实际攻击中,反射的IP会多几倍!)
=======================================================================
[15:26:32] RECV:ICMP Packet from 2021083736 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 20210836206 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 21019210330 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 2021083736 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 21019210330 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 20210836206 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 2021083736 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 21019210330 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 21019210330 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 20210836206 (Type=0,Code=0,Len=52)
[15:26:33] RECV:ICMP Packet from 21019210330 (Type=0,Code=0,Len=52)
[15:26:33] RECV:ICMP Packet from 20210836206 (Type=0,Code=0,Len=52)
[15:26:33] RECV:ICMP Packet from 2021083736 (Type=0,Code=0,Len=52)
[15:26:33] RECV:ICMP Packet from 2021083736 (Type=0,Code=0,Len=52)
[15:26:33] RECV:ICMP Packet from 20210836206 (Type=0,Code=0,Len=52)
[15:26:33] RECV:ICMP Packet from 21019210330 (Type=0,Code=0,Len=52)
[15:26:33] RECV:ICMP Packet from 2021083736 (Type=0,Code=0,Len=52)
[15:26:33] RECV:ICMP Packet from 20210836206 (Type=0,Code=0,Len=52)
[15:26:33] RECV:ICMP Packet from 21019210330 (Type=0,Code=0,Len=52)
=======================================================================
可以看出,攻击者使用的是32bytes的ECHO请求,所以服务器返回52-20=32bytes的REPLY报文,在这个情况下,是不会报警的。
还是那句话,报警也没用了。
八、自己编写ICMP Flooder
以上说的都是理论,如何才能自己写一个呢?相信很多人已经跃跃欲试了,下面就用VC60来写一个直接的ICMP Flooder(能在Win98/Me环境使用)……先等等——最重要的是原理。
1程序原理
当然不能用IcmpSendEcho来做,我们必须自己从最原始的IP报文里做一个。构造一个SOCK_RAW报文后,填充ICMP数据和计算校验和(CheckSum),循环sendto发出去就完成了,so easy!
2ICMP报文的声明
一个ICMP报文包括IP头部、ICMP头部和ICMP报文,用IPPROTO_ICMP创建这个类型的IP包,用以下结构填充:
typedef struct _ihdr
{
BYTE i_type; //8位类型
BYTE i_code; //8位代码
USHORT i_cksum; //16位校验和
USHORT i_id; //识别号
USHORT i_seq; //报文序列号
ULONG timestamp; //时间戳
}ICMP_HEADER;你肯定是被某个扫描IP的黑客攻击,给你发的也是冲击波或震荡波病毒。
第一,更新XP
SP2补丁。把所有的补丁都打上。
第二,最好是找代理服务器。(不过不太好找,因为更新比较快。)
第三,把不必要的端口都关掉。如,135,139,3389,445等一些端口。
第四,安装瑞星或天网防火墙。
这些应该可以帮你解决一些问题。如果还有问题,请给我发短信。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)