Smurf攻击

Smurf攻击Smurf攻击是以最初发动这种攻击的程序名“Smurf”来命名的。Smurf攻击为DDOS攻击中较为常见的一种。DDOS全名是DistributedDenialofservice(分布式拒绝服务),很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击。概述DDOS攻击图示该攻击方式利用TCP/IP协议自身的缺陷,结合使用IP欺骗和ICMP回复方法,使网络因响应ICMP回复请求而产生大量的数据流量,导致网络严重的拥塞或资源消耗,引起目标系统拒绝为合法用户提供服务,从而对网络安全构成重大威胁。Smurf攻击概述攻击者在远程机器上发送ICMP应答请求服务,其目标主机不是某一个主机的IP地址,而是某个网络的广播地址,其请求包的源IP不是发起攻击的IP地址,而是加以伪装的将要攻击的主机IP地址。大量主机收到ICMP应答请求服务包后,按源IP返回请求信息,从而导致受攻击主机的服务性能下降,甚至崩溃。IP欺骗攻击者中间媒介被攻击者以被攻击者IP发送ICMP请求应答ICMP请求攻击流程......AR1R2VB204.192.0.263.119.3.221攻击图示94.56.255.255ICMP应答风暴的检测若出现Smurf攻击,则会出现大量的echo报文,此时,echo报文在所有报文中所占的比例大大增加。报文丢失率和重传率的上升由于echo风暴造成网络负载过重,会出现大量报文丢失和报文重传现象。常出现意外的连接重置的现象在受到Smurf攻击时,由于网络重载,会使其它的网络连接出现意外的中断或重置的现象。Smurf攻击的检测1.避免站内主机成为攻击者网络应在与子网相连的一边对欺骗IP包进行过滤。比如在路由器端通过向某一ICMP包的源IP发送一个确认包来判断此包是否是欺骗的IP包,保证内部网络中发出的所有传输信息都具有合法的源地址。攻击的防御措施2.避免成为Smurf攻击的中间媒介第一种方法是在路由器端加以配置,拒绝接收带有广播地址的ICMP应答请求包,防止这些分组到达自己的网络。第二种方法是用户禁止路由器把网络广播地址映射成为LAN广播地址。制止了这个映射过程,自己的系统就不会再收到这些echo请求。攻击的防御措施防止成为Smurf攻击源以下是一个Cisco2610路由器(V11.2)中记录下的一个日志信息:Sep1023:17:01PDT:%SEC-6-IPACCESSLOGDP:list101permittedicmp10.0.7.30(FastEthernet1/00060.3e2f.6e41)-10.30.248.3(8/0),5packets从以上信息中,读出此链接的MAC地址0060.3e2f.6e41,再利用showiparp指令即可找到此链接中的上一跳的IP。如:netlab#showiparp0060.3e2f.6e41ProtocolAddressAge(min)HardwareAddrTypeInterfaceInternet10.0.183.65320060.3e2f.6e41ARPAFastEthernet1/0可以看出,10.0.183.165就是ICMP包的上一跳IP地址攻击的防御措施Smurf攻击是DDOS攻击的一种，它主要通过IP欺骗和ICMP请求来占用被攻击主机资源，使其网络堵塞停止服务。防御Smurf要从源站点、中间媒介和目标站点3个方面采取步骤。总结