Smurf攻击

安全技术及应用课程报告报告名称关于Smurf攻击的分析学号100XXXX姓名XXX报告完成日期2013年5月26日成绩指导教师签字年月日1Smurf攻击拒绝服务(DoS)攻击是目前黑客广泛使用的一种攻击手段，它通过独占网络资源，使其他主机不能进行正常访问，从而导致网络瘫痪。DoS攻击主要分为Smurf，SYNFlood和Fraggle3种。在Smurf攻击中，它并不直接对目标主机发送服务请求包。所谓的Smurf攻击是指，攻击者在远程机器上发送ICMP应答请求服务，其目标主机不是某一个主机的IP地址，而是某个网络的广播地址，其请求包的源IP不是发起攻击的IP地址，而是加以伪装的将要攻击的主机IP地址大量主机收到ICMP应答请求服务包后，按源IP返回请求信息，从而导致受攻击主机的服务性能下降，甚至崩溃。由于Smurf攻击中运用了多点多路同步攻击的先进手段，可以更有效地使目标系统的网络端口阻塞，拒绝为正常系统进行服务，同时也更好地隐藏了攻击者，保护攻击者不易被受攻击者发现。要想深入的了解Smurf攻击的基本原理，首先要具备一个基本的前提知识：ICMP及其广播机制，下面就先来简单的介绍一下它。一、ICMP及其广播机制ICMP通常被看作是IP层的一个组成部分，它传递差错报文和其它的控制信息。每个ICMP可以用一个四元组{报文类型，类型代码，检验和，与特定类型和代码相关的信息}来表示。ICMP报文共有15种类型，每种类型有一个或多个不同的代码表示不同的控制请求。如Ping程序就是发送一个回显请求包文给主机，并等待返回ICMP回显2应答，从而判断主机是否可达。一个IP网络可以有3种地址：单播地址、广播地址和多播地址。所谓的广播就是指向特定网络上的所有主机发送信息。其中广播地址可以分为以下4类。1、受限的广播地址受限的广播地址是255.255.255.255该地址用于主机配置过程中IP数据报的目的地址。在任何情况下，路由器都不转发目的地址为受限的广播地址的数据报，这样的数据报仅出现在本地网络中。2、指向网络的广播地址指向网络的广播地址为主机标识全为1的地址。例如，A类网络的广播地址为netID.255.255.255，其中netID为A类网络的ID。一个路由器应转发指向网络的广播，但它也有一个不进行转发的选择。3、指向子网的广播地址指向子网的广播地址为主机号全为1，且有特定子网ID的地址。作为子网直接广播地址的IP地址需要与子网掩码相结合。例如，路由器收到发往128.1.2.255的数据报，当B类网络地址子网掩码为255.255.255.0时，该地址就是指向特定子网的广播地址;如子网掩码为255.255.254.0时，该地址就不是指向子网的广播地址。4、指向所有子网的广播地址指向所有子网的广播也需要了解目的网络的子网掩码，以便与指向网络的广播区别开。指向所有子网的广播地址的子网ID和主机ID全为1。例如，如果目的子网掩码为255.255.255.0，那么IP地址128.1.255.255是一个指向所有子网的广播地址。虽然RFC922要求将3一个指向所有子网的广播传送给所有子网，但庆幸的是，当前的路由器并没有这么做，因为一个因错误配置而没有子网掩码的主机会把本地的广播传送到所有子网。二、Smurf攻击原理及影响ICMP可以用来传递主要的状态和错误信息，比如更改网络的配置和其它的网络传输问题。因此，ICMP是一个诊断主机和网络设备及配置问题的一个有价值的工具。但同时，ICMP也成为用来攻击网络或主机的一种途径，导致网络重载进而拒绝为合法用户提供服务。Smurf攻击就是利用发送ICMP应答包来导致目标主机的服务拒绝攻击。在Smurf攻击中，ICMP应答请求数据包中的目标IP是一个网络的广播IP地址，源IP地址是其要攻击主机的IP地址。这种攻击方式主要由3部分组成：攻击者、中间媒介(主机、路由器和其它网络设备)和被攻击者。当攻击者发送一个ICMP请求应答包时，他并不将自己机器的IP作为源IP。相反，攻击者将被攻击对象的IP作为包的源IP。当中间媒介收到一个指向其所在网络的广播地址后，中间媒介将向源IP(被攻击者的IP)发送一个ICMP应答包。当一个网络的机器均对ICMP应答请求包做出响应时，可能会导致网络拥塞或拒绝服务甚至崩溃。其攻击过程的示意图如图所示。4在图中，黑客计算机的真正IP为192.168.1.16，但数据包中的源IP地址却伪装成被攻击计算机的IP地址130.56.22.98。随后，黑客（攻击者）向中间媒介网络发送ICMP广播消息，其数据报的目标IP地址为202.96.12.255（广播地址）。C网段收到广播地址后，网段中的计算机将回应源IP地址为130.56.22.98的计算机。在这里，中间媒介可以看作是一个信号放大器，可以将数据进行成百上千倍的放大，其本身性能也可能受到Smurf攻击的影响。比如，网段C中有100台主机，攻击者每秒钟发送768Kbp的ICMP应答请求包。网段C中的100台主机收到带有该网络广播地址的ICMP包后，将向被攻击计算机发送100个应答包。结果，ICMP应答请求包经过中间媒介放大后，网络的流量就增加了76.8Mbp/s。随后所有的应答包均被送往受到攻击的主机。因此，对于一个100M的网络及低端路由器来说，重载和性能下降是必然的结果。而受攻击的主机就可能导致拒绝服务，甚至崩溃。攻击者现在可以利用一系列的攻击工具来向中间媒介发送多个ICMP请求。同时，攻击者可以用网络扫描器(如Sam下的Sniffit，PC上的5NetXray)来查找那些对广播数据包不进行过滤的路由器，使得发起这种攻击更容易。三、Smurf攻击的特征1、短时间内大量的网络传输；2、其中ICMP的echo（应答协议）响应报文占绝大多数；3、这些echo（应答协议）响应的源地址大都来自于某几个网段。四、Smurf攻击的检测1、ICMP应答风暴的检测对网络进行监控和统计发现，若出现Smurf攻击，则会出现大量的echo报文，由于存在echo应答风暴，此时，echo报文在所有报文中所占的比例大大增加。所以，如出现这种情况，就可能遭到了Smurf攻击。2、报文丢失率和重传率的上升由于echo风暴造成网络负载过重，会出现大量报文丢失和报文重传现象。所以，若有明显的报文丢失率和重传率上升现象，就有可能遭到了Smurf攻击。3、常出现意外的连接重置的现象在受到Smurf攻击时，由于网络重载，会使其它的网络连接出现意外的中断或重置的现象。如反复出现意外的中断或重置，也可能受到了Smurf攻击。五、Smurf攻击的防御措施对Smurf攻击的防御可以分别在源站点、中间媒介和目标站点36个方面采取步骤，以限制Smurf攻击的影响。1、避免站内主机成为攻击者网络应在与子网相连的一边对欺骗IP包进行过滤。比如在路由器端可以增加一个功能，通过向某一ICMP包的源IP发送一个确认包来判断此包是否是欺骗的IP包，保证内部网络中发出的所有传输信息都具有合法的源地址。2、避免成为Smurf攻击的中间媒介有2种选择以阻塞Smurf攻击的中间媒介。第一种方法是在路由器端进行配置，拒绝接收带有广播地址的ICMP应答请求包，防止这些分组到达自己的网络。如果不能阻塞所有入站echo请求，用户就需要禁止路由器把网络广播地址映射成为LAN广播地址。制止了这个映射过程，自己的系统就不会再收到这些echo请求。如果使用Cisco路由器，制止网络广播映射成为LAN广播的方法是在LAN接口的配置模式中输入命令：noipdirected-broadcast3、防止成为Smurf攻击跟踪Smurf攻击是困难的，但如果有ISP的合作，对其进行跟踪也是可能的。在前面的Smurf攻击原理中，已介绍了ICMP应答请求包的源IP是经过伪装的将要被攻击的主机IP，所以要从ICMP的源IP是无法跟踪Smurf攻击的发起者的。可以在ACL(Accesscontrollayer)记录下ICMP信息包的MAC地址，通过MAC地址来跟踪Smurf攻击。比如，在Cisco路由器的IOS11.1及其以后的版本中，均可在指定的接口记录和处理包的信息，其中就包括MAC地址。以下是一个7Cisco2610路由器(V11.2)中记录下的一个日志信息：Sep1023：17：01PDT：%SEC-6-IPACCESSLOGDP：list101permittedicmp10.0.7.30(FastEthernet1/00060.3e2f.6e41)-10.30.248.3(8/0)，5packets从以上信息中，读出此链接的MAC地址0060。3e2f。6e41，在利用showiparp指令即可找到此链接中的上一跳的IP。如：netlab#showiparp0060.3e2f.6e41ProtocolAddressAge(min)HardwareAddrTypeInterfaceInternet10.0.183.65320060.3e2f.6e41ARPAFastEthernet1/0可以看出，10.0.183.165就是ICMP包的上一跳IP地址。采用同样的处理方法，最终会找到发起Smurf攻击主机的真正IP。六、总结随着Smurf攻击手段不断改进和完善使之更难防范，要尽可能地减少Smurf攻击危害，必须全面综合制定安全策略，实施多种安全手段才可能最大限度地降低危害。要想在Internet根除Smurf攻击，一方面需在攻击源头阻止IP欺骗，另一方面反弹站点要拒绝任何以广播方式发送的IP报文。