Smurf攻击是一种分布式拒绝服务攻击(DDoS)攻击,攻击者尝试使用Internet控制消息协议(ICMP)数据包来淹没目标服务器。通过将目标设备的欺骗IP地址的请求发送到一个或多个计算机网络,计算机网络然后响应于目标服务器,放大初始攻击流量并潜在地压倒目标,使其无法访问。这种攻击向量通常被认为是一个解决的漏洞,不再普及。
Smurf攻击如何工作?
虽然ICMP数据包可以用于DDoS攻击,通常它们在网络管理中提供有价值的功能。使用ICMP数据包的ping应用程序由网络管理员用来测试网络硬件设备,如计算机,打印机或路由器。通常使用ping来查看设备是否可操作,并跟踪消息从源设备往目的地返回到源的时间。不幸的是,由于ICMP协议不包括握手,接收请求的硬件设备无法验证请求是否合法。
这种类型的DDoS攻击可以被认为是一个叫做办公室经理的恶作剧者,并假装成为公司的首席执行官。恶作剧者要求经理告诉每位员工,将他的私人电话号召给执行官,并给他们关于他们的工作情况的最新情况。恶作剧者给出了目标受害者的回调号码,然后接收与办公室中的人一样多的无用电话。
以下是Smurf攻击的工作原理:
首先,Smurf恶意软件构建一个欺骗的数据包,其源地址设置为目标受害者的真实IP地址。
然后,该分组被发送到路由器或防火墙的IP广播地址,路由器或防火墙又向广播网络内的每个主机设备地址发送请求,通过网络上的网络设备的数量增加请求的数量。
网络内的每个设备接收来自广播者的请求,然后使用ICMP回应应答包来响应目标的欺骗地址。
目标受害者然后收到大量的ICMP回应回复数据包,可能会变得不知所措,并导致对合法流量的拒绝服务。
如何减轻Smurf攻击?
多年来,已经开发和实施了这个攻击媒介的几个缓解策略,并且大部分被考虑解决这个攻击。在有限数量的遗留系统上,仍然需要应用缓解技术。一个简单的解决方案是在每个网络路由器和防火墙上禁用IP广播地址。较旧的路由器可能默认启用广播,而较新的路由器可能已经禁用。