IGMP(Internet Group Manage Protocol):Internet组管理协定,提供internet网际多点

传送的功能,即将一个ip包拷贝给多个host,windows系列採用了这个协定,因为此项技术

尚不成熟,因此被一些人用来攻击windows系统,尤其是对win98,因为对win95有oob攻击.

受到IGMP攻击的症状是首先出现蓝屏,然后网速变得极慢,有的甚至滑鼠,键盘均不管用.

非得重启不可.

IGMP的工作过程如下:

一. 当主机加入一个新的工作组时,它传送一个igmp host membership report的报文给全部主机组,宣布此成员关係.本地多点广播路由器接受到这个报文后,向Internet上的其他多路广播路由器传播这个关係信息,建立必要的路由.与此同时,在主机的网路接口上将ip主机组地址映射为mac地址,并重新设定地址过滤器.

二. 为了处理动态的成员关係,本地多路广播路由器周期性的轮询本地网路上的主机,以便确定在各个主机组有哪些主机,这个轮询过程是通过传送igmp host membership query报文来实现的,这个报文传送给全部主机组,且报文的ttl域设为1,以确保报文不会传送到lan以外.受到报文的主机组成员会传送回响报文.如果所有的主机组成员同时回响的话,就可能造成网路阻塞.IGMP协定採用了随机延时的方法来避免这个情况.这样就保证了在同一时刻每个主机组中只有一个成员在传送回响报文。

IGMP其工作原理引用goodwell的原句如下：Windows 95, 98 and Windows 2000's TCP/IP stacks were not built to tolerate malformed IGMP (Internet Group Management Protocol) headers. When one is received, the stack will fail with unpredictable results ranging from a Blue Screen to instantaneous reboot

WIN95，WIN98的NMPI协定有个BUG，可以炸当机（炸后毫无反映，滑鼠键盘都不管用）。

因为此协定是IPX/SPX协定里面的，所以只能炸内部网的，如果有IPX路由可能可以炸得远点。如果没有安装IPX/SPX协定或者没有IPX/SPX协定绑定MICROSOFT客户可能不能炸。此BUG与原来的一些BUG很不一样，不是包中哪个栏位非法，造成非法访问或者溢出破坏系统，是因为此协定的回覆包与此协定包没多少区别造成（没有栏位指明是这种包还是回复包，其他的协定一般都有栏位指明），此当机包关键就是伪造机器名和网卡地址MAC2，造成受攻击机器收到包后的回覆包又是受攻击机器本身，而回复包因为包没有栏位表明是回复包，所以查到机器名是自己（此协定就是以机器名识别是不是该接收）又回复包，所以就造成发包的死循环，而这处理是在VXD中就是系统核心中，所以不能切换任务处理键盘滑鼠等，也就是当机毫无反应了。

★IGMP(Internet Group Message Protocol)是一个尚处于实验阶段的协定,提供Internet网际多点传送的功能,即将一个IP包的拷贝传给多个host.

Windows98和windows2000都採用了这个不太成熟的协定,在这两个平台内,这个多点传送的协定的套用容易引起Tcp/IP堆叠的阻塞

这种攻击能使对方的机器蓝屏甚至是重启，但我个人认为实际意义不大。

因为此协定是ipx/spx里的,因此只能炸区域网路,如有ipx路由可炸得远点.

IGMP的本义是为了使路由器觉察到本地主机组的存在而使用的一个协定,因此一般只有路由发的igmp包是可以接受的.