Smurf攻擊是以最初發動這種攻擊的程序名Smurf來命名。這種攻擊方法結合使用了IP欺騙和ICMP回復方法使大量網絡傳輸充斥目標系統,引起目標系統拒絕為正常系統進行服務。
攻擊的過程是這樣的:Woodlly Attacker向一個具有大量主機和因特網連接的網絡的廣播地址發送一個欺騙性Ping分組(echo 請求),這個目標網絡被稱為反彈站點,而欺騙性Ping分組的源地址就是Woolly希望攻擊的系統。
這種攻擊的前提是,路由器接收到這個發送給IP廣播地址(如206.121.73.255)的分組后,會認為這就是廣播分組,并且把以太網廣播地址FF:FF:FF:FF:FF:FF:映射過來。這樣路由器人因特網上接收到該分組,會對本地網段中的所有主機進行廣播。
讀者肯定能夠想到下面會發生什么情況。網段中的所有主機都會向欺騙性分組的IP地址發送echo響應信息。如果這是一個很大的以太網段,可以會有500個以上的主機對收到的echo請求進行回復。
由于多數系統都會盡快地處理ICMP傳輸信息,Woodlly Attacker把分組的源地址設置為目標系統,因些目標系統都很快就會被大量的echo信息吞沒,這樣輕而易舉地就能夠阻止該系統處理其它任何網絡傳輸,從而引起拒絕為正常系統服務。
這種攻擊不僅影響目標系統,還影響目標公司的因特網連接。如果反彈站點具有T3連接(45Mbps),而目標系統所在的公司使用的是租用線路(56Kbps),則所有進出該公司的通訊都會停止下來。
那么如何防止這種類型的攻擊?用戶可以分別在源站點、反彈站點和目標站點三個方面采取步驟,以限制Smurf攻擊的影響。[page] 解決辦法:
阻塞Smurf攻擊的源頭
Smurf攻擊依靠攻擊者的力量使用欺騙性源地址發送echo請求。用戶可以使用路由路的訪問保證內部網絡中發出的所有傳輸信息都具有合法的源地址,以防止這種攻擊。這樣可以使欺騙性分組無法找到反彈站點。
阻塞Smurf的反彈站點
用戶可以有兩種選擇以阻塞Smurf攻擊的反彈站點。第一種方法可以簡單地阻塞所有入站echo請求,這們可以防止這些分組到達自己的網絡。
如果不能阻塞所有入站echo請求,用戶就需要罅自己的路由器把網絡廣播地址映射成為LAN廣播地址。制止了這個映射過程,自己的系統就不會再收到這些echo請求。
如果使用Cisco路由路,制止網絡廣播映射成為LAN廣播的方法是在LAN接口的配置模式中輸入命令:
no ip directed-broadcast
注意:必須在所有路由器的所有LAN接口都使用該命令。只在某些外圍路由器上使用上述命令不會起作用。
防止Smurf攻擊目標站點
除非用戶的ISP愿意提供幫助,否則用戶自己很難防止Smurf對自己的WAN接連線路造成的影響。雖然用戶可以在自己的網絡設備中阻塞這種傳輸,但對于防止Smurf吞噬所有的WAN帶寬已經太晚了。
但至少用戶可以把Smurf的影響限制在外圍設備上。通過使用動態分組過濾技術,或者使用防火墻,用戶可以阻止這些分組進入自己的網絡。防火墻的狀態表很清楚這些攻擊會話不是本地網絡中發出的(狀態表記錄中沒有最初的echo請求記錄),因些它會象對待其它欺騙性攻擊行為那樣把這樣信息丟棄。