Smurf攻擊的出現(xiàn)無疑是企業(yè)網(wǎng)絡(luò)管理員更加頭疼了，Smurf攻擊結(jié)合了IP欺騙和ICMP恢復(fù)方法，使得自身更具有攻擊性并且更加巧妙。那么如何應(yīng)對(duì)Smurf攻擊又成為了管理員們思考的一個(gè)問題，通過本篇文章我們可以了解一下Smurf攻擊的攻擊過程以及防范方法。

攻擊的過程是這樣的：Woodlly Attacker向一個(gè)具有大量主機(jī)和因特網(wǎng)連接的網(wǎng)絡(luò)的廣播地址發(fā)送一個(gè)欺騙性Ping分組（echo 請(qǐng)求），這個(gè)目標(biāo)網(wǎng)絡(luò)被稱為反彈站點(diǎn)，而欺騙性Ping分組的源地址就是Woolly希望攻擊的系統(tǒng)。

這種攻擊的前提是，路由器接收到這個(gè)發(fā)送給IP廣播地址（如206.121.73.255）的分組后，會(huì)認(rèn)為這就是廣播分組，并且把以太網(wǎng)廣播地址FF:FF:FF:FF:FF:FF:映射過來。這樣路由器人因特網(wǎng)上接收到該分組，會(huì)對(duì)本地網(wǎng)段中的所有主機(jī)進(jìn)行廣播。

讀者肯定能夠想到下面會(huì)發(fā)生什么情況。網(wǎng)段中的所有主機(jī)都會(huì)向欺騙性分組的IP地址發(fā)送echo響應(yīng)信息。如果這是一個(gè)很大的以太網(wǎng)段，可以會(huì)有500個(gè)以上的主機(jī)對(duì)收到的echo請(qǐng)求進(jìn)行回復(fù)。

由于多數(shù)系統(tǒng)都會(huì)盡快地處理ICMP傳輸信息，Woodlly Attacker把分組的源地址設(shè)置為目標(biāo)系統(tǒng)，因些目標(biāo)系統(tǒng)都很快就會(huì)被大量的echo信息吞沒，這樣輕而易舉地就能夠阻止該系統(tǒng)處理其它任何網(wǎng)絡(luò)傳輸，從而引起拒絕為正常系統(tǒng)服務(wù)。

這種攻擊不僅影響目標(biāo)系統(tǒng)，還影響目標(biāo)公司的因特網(wǎng)連接。如果反彈站點(diǎn)具有T3連接（45Mbps），而目標(biāo)系統(tǒng)所在的公司使用的是租用線路（56Kbps），則所有進(jìn)出該公司的通訊都會(huì)停止下來

阻塞Smurf攻擊的源頭

Smurf攻擊依靠攻擊者的力量使用欺騙性源地址發(fā)送echo請(qǐng)求。用戶可以使用路由路的訪問保證內(nèi)部網(wǎng)絡(luò)中發(fā)出的所有傳輸信息都具有合法的源地址，以防止這種攻擊。這樣可以使欺騙性分組無法找到反彈站點(diǎn)。

阻塞Smurf攻擊的反彈站點(diǎn)

用戶可以有兩種選擇以阻塞Smurf攻擊的反彈站點(diǎn)。第一種方法可以簡單地阻塞所有入站echo請(qǐng)求，這們可以防止這些分組到達(dá)自己的網(wǎng)絡(luò)。

如果不能阻塞所有入站echo請(qǐng)求，用戶就需要罅自己的路由器把網(wǎng)絡(luò)廣播地址映射成為LAN廣播地址。制止了這個(gè)映射過程，自己的系統(tǒng)就不會(huì)再收到這些echo請(qǐng)求。

如果使用Cisco路由路，制止網(wǎng)絡(luò)廣播映射成為LAN廣播的方法是在LAN接口的配置模式中輸入命令：
no ip directed-broadcast

注意：必須在所有路由器的所有LAN接口都使用該命令。只在某些外圍路由器上使用上述命令不會(huì)起作用。

防止Smurf攻擊目標(biāo)站點(diǎn)

除非用戶的ISP愿意提供幫助，否則用戶自己很難防止Smurf對(duì)自己的WAN接連線路造成的影響。雖然用戶可以在自己的網(wǎng)絡(luò)設(shè)備中阻塞這種傳輸，但對(duì)于防止Smurf吞噬所有的WAN帶寬已經(jīng)太晚了。

但至少用戶可以把Smurf的影響限制在外圍設(shè)備上。通過使用動(dòng)態(tài)分組過濾技術(shù)，或者使用防火墻，用戶可以阻止這些分組進(jìn)入自己的網(wǎng)絡(luò)。防火墻的狀態(tài)表很清楚這些攻擊會(huì)話不是本地網(wǎng)絡(luò)中發(fā)出的（狀態(tài)表記錄中沒有最初的echo請(qǐng)求記錄），因些它會(huì)象對(duì)待其它欺騙性攻擊行為那樣把這樣信息丟棄。
 

【編輯推薦】

1. 淺析黑客如何入侵企業(yè)網(wǎng)絡(luò)
2. Lynx命令行URL CRLF注入漏洞
3. 深度分析TCP會(huì)話劫持
4. 黑客技術(shù)：CRLF注入攻擊原理和防范措施
5. 使用工具和測試防范跨站點(diǎn)腳本攻擊