Smurf攻擊原理:
利用TCP/IP協議自生缺陷,結合IP欺騙和ICMP回復的方法是網絡響應ICMP回復請求,從而產生大量的數據流量,導致網絡嚴重阻塞和資源消耗,進而引起目標系統拒絕為合法用戶提供服務。簡單點說,就是向網絡廣播地址發送偽造源IP的ICMP echo Request包,導致該網絡內所有主機都按源IP對此ICMP echo Request做出回復,導致網絡阻塞,受攻擊主機的服務性能下降甚至崩潰。
受害者是攻擊者的攻擊目標和無辜充當攻擊者攻擊工具的第三方網絡。
Smurf攻擊在網絡上很難形成攻擊,一般在局域網內使用,因為路由器等三層設備本身就不會轉發目的地址是廣播地址的報文。
Smurf攻擊示意圖:
Smurf攻擊檢測:
1、ICMP應答風暴檢測
出現Smurf攻擊時,會有大量的echo報文,根據收到的源ip相同的echo報文是否超過設置閾值來判斷;
2、報文丟失率和重傳率
出現Smurf攻擊時,會造成網絡阻塞負載過重,可以根據出現大量的報文丟失和報文重傳現象判斷;
3、意外連接重置現象
出現Smurf攻擊時,會會造成網絡阻塞負載過重,可以根據所在網絡連接出現意外中斷或重置頻率判斷;
Sumrf攻擊防御:
1 避免成為Smurf攻擊的中間媒介
(1)配置路由器,禁止帶廣播地址的ICMP請求應答報文進網;
(2)禁止將源地址為其他網絡數據包從本網絡向外部網絡發送;
2 避免網絡內主機成為攻擊者
(1)禁止對目標地址為廣播地址的ICMP包響應;
(2)對ICMP請求包發送確認包;
3 被攻擊者與ISP協商,通過ISP暫時阻止這些流量。