smurf攻击原理及防御方法

  信息安全

Smurf 攻击是分布式拒绝服务 (DDoS) 攻击的一种形式,该攻击会导致计算机网络停止服务。Smurf 程序通过利用互联网协议 (IP) 和互联网控制消息协议 (ICMP) 的漏洞来实现其目的。

Smurf 攻击的步骤如下:

  • 首先,恶意软件会创建一个连接到错误 IP 地址的网络数据包 — 我们将这种手法称为“哄骗”。
  • 包含在该数据包中的 ICMP ping 报文会要求收到数据包的网络节点发回一个回复
  • 接着,这些回复,或者说“回声”,会被再次发回网络 IP 地址,从而造成一个死循环。

当它与 IP 广播相结合,并由 IP 广播将恶意数据包发送到网络中的每一个 IP 地址时,Smurf 攻击就能快速导致该网络完全拒绝服务。

Smurf 攻击的传播和影响

用户有可能会从未经验证的网站或通过受感染的电子邮件链接不小心下载 Smurf 特洛伊木马。通常,该程序会在计算机中保持休眠状态,直到被远程用户激活;因此,很多 Smurf 会与 rootkit 捆绑,允许黑客创建后门,便于其访问系统。有一种方法可以对抗 Smurf 攻击,那就是关闭所有网络路由器的 IP 广播地址。该功能的使用率很低,并且一旦关闭,此类攻击就没有可能覆盖该网络。

Smurf DDoS 攻击一旦成功,便会致使公司服务器瘫痪数小时或数日,造成收入损失并引起客户的不满 — 此外,这类攻击还有可能是在为一些更危险的行为提供掩护,比如盗窃文件或其他知识产权 (IP)。应对 Smurf 及类似的 DDoS 攻击需要一个能够监控网络流量,并检测出任何异常情况,例如数据包大小、行为和签名的有力预防策略;许多恶意软件僵尸程序都会表现出特定的特征,因而恰当的安全服务能帮助您在 Smurf 或其他 DDoS 攻击开始前阻止它们。

如何保护您自己

Smurf 攻击的名字乍听起来似乎很可爱(与蓝精灵同名),但如果服务器不堪重负,就会产生真正的风险。禁用 IP 广播并采用可靠的检测工具能帮助您限制遭受此类攻击的机会及其带来的影响。下面我们为您介绍了几个步骤,帮助您减轻 Smurf 攻击带来的影响:

  • 确保阻止进入网络的定向广播流量
  • 通过设置禁止主机和路由器响应 ICMP 回声请求。

Fraggle 攻击是 Smurf 攻击的一种变体。这种攻击本质上与 Smurf 攻击相同,但它不会向直接广播地址发送 ICMP 回声请求,而是会发送 UDP 数据包。在应对 Fraggle 攻击时,可以采取与上述相同的方法来减轻影响。