類型：Smurf 攻擊 2 個改進

簡介

Smurf 攻擊是利用假冒的 internet 控制消息協議（ICMP）廣播 ping 進行攻擊，IP支持所謂的定向廣播，某個工作站將廣播數據包發送到另一個網絡時所發生的就是定向廣播。例如，當192.168.1.0/24 網絡中的一臺主機可以將數據包發送到192.168.1.255，如是路由器配置為傳播定向廣播，那么網絡192.168.1.0/24 就會收到該數據包，將其發送給網絡192.168.1.0/24 上的所有主機，該網絡上所有配置為對廣播流量作響應的工作站都會做出響應。

攻擊過程

Smurf攻擊通過使用將回復地址設置成受害網絡的廣播地址的ICMP應答請求(ping)數據包，來淹沒受害主機，最終導致該網絡的所有主機都對此ICMP應答請求做出答復，導致網絡阻塞。更加復雜的Smurf將源地址改為第三方的受害者，最終導致第三方崩潰。

攻擊的過程是這樣的：Woodlly Attacker向一個具有大量主機和因特網連接的網絡的廣播地址發送一個欺騙性Ping分組（echo 請求），這個目標網絡被稱為反彈站點，而欺騙性Ping分組的源地址就是Woodlly希望攻擊的系統。

這種攻擊的前提是，路由器接收到這個發送給IP廣播地址（如206.121.73.255）的分組后，會認為這就是廣播分組，并且把以太網廣播地址 FFFFFF 映射過來。這樣路由器因因特網上接收到該分組，會對本地網段中的所有主機進行廣播。

讀者肯定能夠想到下面會發生什么情況。網段中的所有主機都會向欺騙性分組的IP地址發送echo響應信息。如果這是一個很大的以太網段，可以會有500個以上的主機對收到的echo請求進行回復。

由于多數系統都會盡快地處理ICMP傳輸信息，Woodlly Attacker把分組的源地址設置為目標系統，因此目標系統都很快就會被大量的echo信息吞沒，這樣輕而易舉地就能夠阻止該系統處理其它任何網絡傳輸，從而引起拒絕為正常系統服務。

這種攻擊不僅影響目標系統，還影響目標公司的因特網連接。如果反彈站點具有T3連接（45Mbps），而目標系統所在的公司使用的是租用線路（56Kbps），則所有進出該公司的通訊都會停止下來。

這種攻擊已經很少見,大多數的網絡已經對這種攻擊免疫了。

攻擊檢測

在分析Smurf 攻擊原理的基礎上，本文提出Smurf 攻擊的檢測方法。

ICMP 應答風暴的檢測

對網絡進行監控和統計發現, 若出現Smurf 攻擊， 則會出現大量的echo 報文。由于存在echo 應答風暴， 此時，echo 報文在所有報文中所占的比例大大增加。所以，如出現這種情況， 就可能遭到了Smurf 攻擊。

報文丟失率和重傳率的上升

由于echo 風暴造成網絡負載過重，會出現大量報文丟失和報文重傳現象。所以，若有明顯的報文丟失率和重傳率上升現象，就有可能遭到了Smurf 攻擊。

常出現意外的連接重置的現象

在受到Smurf 攻擊時， 由于網絡重載，會使其它的網絡連接出現意外的中斷或重置的現象。如反復出現意外的中斷或重置，也可能受到了Smurf 攻擊。

防御方法

挫敗一個Smurf攻擊的最簡單的方法就是對邊界路由器的回音應答（echo reply）信息包進行過濾，然后丟棄他們，使網絡避免被湮沒。

路由器設置

在cisco[路由器上配置如下可以防止將包傳遞到廣播地址上：

Router(config-if)# no ip directed-broadcast
why this command can prevent Smurf attacks?
The reason is that it prevents your network device from being a reflector in an attack.