你所不知道的Smurf攻击

　　拒绝服务攻击是阻止或者拒绝合法使用者存取网络服务器的一种破坏性攻击方式，在这当中，存在一种结合使用了IP欺骗和ICMP回复方法使大量网络数据充斥目标系统，引起目标系统拒绝为正常请求进行服务的攻击方式——Smurf攻击。不知道大家对Smurf攻击的原理清不清楚呢?

　　攻击原理

      Smurf攻击的原理如下图所示，攻击者主要使用IP广播和IP欺骗的方法，发送伪造的ICMPECHOREQUEST包给目标网络的IP广播地址。

　　攻击者向网络广播地址发送ICMP包，并将回复地址设置成受害网络的广播地址，通过使用ICMP应答请求数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对次ICMP应答请求作出答复，导致网络阻塞。更加复杂的Smurf攻击攻击将源地址改为第三方受害者，最终导致第三方崩溃。

　　广播信息可以通过一定的手段(通过广播地址或其他机制)发送到整个网络中的机器。当某台机器使用广播地址发送一个ICMPecho请求包时(例如Ping)，一些系统会回应一个ICMPecho回应包，即发送一个包会收到许多的响应包。Smurf攻击就是使用这个原理来进行的，当然还需要一个假冒的源地址。也就是说，在网络中发送源地址为要攻击主机的地址、目的地址为广播地址的包，会使许多系统响应发送大量的信息给被攻击主机(因为其地址被攻击者假冒了)。

　　防范措施：

　　1 配置路由器禁止IP广播包进网

　　几乎在所有的情况下，这种功能是不必要的。应该在网络的所有路由器上都禁止这个功能，而不仅仅在与外部网络连接的路由器上禁止。例如，网络上有5个路由器连接着10个LAN ，则应该在这5个路由器上都禁止IP广播包通过。

　　2 配置网络上所有计算机的操作系统，禁止对目标地址为广播地址的ICMP包响应。

　　虽然对路由器进行了禁止网外ICMP广播包的进入，但是攻击者可能已经攻破了网络内部的某台主机，攻击者仍然可以使用网络上这台被他控制的主机发起Smurf攻击。

　　3 被攻击目标与ISP协商，由ISP暂时阻止ICMPECHOREPLY包进入。

　　4 对于从本网络向外部网络发送的数据包，本网络应该将其源地址为其他网络的这部分数据包过滤掉。

　　虽然目前的技术还不可能消除伪造IP 地址的数据包，但使用过滤技术可以减少这种伪造发生的可能。

　　挫败一个Smurf攻击的最简单的方法就是对边界路由器的回音应答(echo reply)信息包进行过滤，然后丢弃他们，使网络避免被湮没。

　　使用限制：

　　由于路由器等三层设备本身就不会转发目的地址是广播地址的报文，因此Smurf攻击在网络上很难形成攻击。在防火墙上体检Smurf攻击必须要求被攻击网络是之间连接到防火墙上。

　　Smurf攻击最初是以发动这种攻击的程序名Smurf来命名的，这是服务端口攻击的一种，旦目前这种攻击已经不多见了，多数的网络已经对这种攻击免疫了。但这并不代表因为这个就对Smurf攻击不重视不防御，大家可以通过了解它的基本原理来对它进行防御，这样，遇到这种攻击的时候我们对付起来就游刃有余了。