您的位置: 新闻资讯 > 行业动态 > 正文

《探秘网络恶魔:Smurf 攻击全解析》(图文)


来源:mozhe 2024-12-12

一、什么是 Smurf 攻击



Smurf 攻击是一种基于 ICMP 协议的拒绝服务攻击。攻击者利用 IP 欺骗和 ICMP 回应放大原理,通过伪造源 IP 地址向目标网络中的广播地址发送大量 Echo Request 报文,导致目标网络被淹没,无法正常工作。
Smurf 攻击的步骤如下:首先,恶意软件会创建一个连接到错误 IP 地址的网络数据包,我们将这种手法称为 “哄骗”。包含在该数据包中的 ICMP ping 报文会要求收到数据包的网络节点发回一个回复。接着,这些回复,或者说 “回声”,会被再次发回网络 IP 地址,从而造成一个死循环。当它与 IP 广播相结合,并由 IP 广播将恶意数据包发送到网络中的每一个 IP 地址时,Smurf 攻击就能快速导致该网络完全拒绝服务。
Smurf 攻击是分布式拒绝服务(DDoS)攻击的一种形式,该攻击会导致计算机网络停止服务。Smurf 程序通过利用互联网协议(IP)和互联网控制消息协议(ICMP)的漏洞来实现其目的。攻击者首先伪造自己的源 IP 地址为目标网络中的广播地址,然后向该广播地址发送大量的 Echo Request 报文。由于广播地址会将报文转发给目标网络内的所有主机,这导致目标网络中的所有主机都会向攻击目标发送 Echo Reply 报文。当目标网络中有大量主机响应时,网络带宽和系统资源将被消耗殆尽,从而使得网络服务无法正常运行。
Smurf 攻击在网络上很难形成攻击,一般在局域网内使用,因为路由器等三层设备本身就不会转发目的地址是广播地址的报文。简单点说,就是向网络广播地址发送伪造源 IP 的 ICMP echo Request 包,导致该网络内所有主机都按源 IP 对此 ICMP echo Request 做出回复,导致网络阻塞,受攻击主机的服务性能下降甚至崩溃。受害者是攻击者的攻击目标和无辜充当攻击者攻击工具的第三方网络。
Smurf 攻击的传播和影响也不容小觑。用户有可能会从未经验证的网站或通过受感染的电子邮件链接不小心下载 Smurf 特洛伊木马。通常,该程序会在计算机中保持休眠状态,直到被远程用户激活;因此,很多 Smurf 会与 rootkit 捆绑,允许黑客创建后门,便于其访问系统。Smurf DDoS 攻击一旦成功,便会致使公司服务器瘫痪数小时或数日,造成收入损失并引起客户的不满。此外,这类攻击还有可能是在为一些更危险的行为提供掩护,比如盗窃文件或其他知识产权(IP)。

二、Smurf 攻击的原理

  1. 攻击者伪造源 IP 地址为目标网络中的广播地址,向该广播地址发送大量 Echo Request 报文。
攻击者利用 IP 地址欺骗技术,构造 ICMP Echo 请求数据包,将源 IP 地址伪造成目标网络中的广播地址。例如,如果子网是 192.168.1.0/24,广播地址就是 192.168.1.255,攻击者会向这个广播地址发送大量的 Echo Request 报文。
  1. 广播地址将报文转发给目标网络内的所有主机,这些主机向攻击目标发送 Echo Reply 报文。
由于网络中的广播地址允许将一个数据包发送给网络内的所有设备,当广播地址收到攻击者伪造的 Echo Request 报文后,会将报文转发给目标网络内的所有主机。这些主机接收到报文后,会认为是目标系统发出的请求,因此会向攻击目标发送 Echo Reply 报文。
  1. 当目标网络中有大量主机响应时,网络带宽和系统资源被消耗殆尽,网络服务无法正常运行。
目标系统收到大量的 Echo Reply 报文后,网络带宽会被迅速占用,大量无用的 ICMP Echo 应答数据包也会消耗目标系统大量的 CPU 和内存资源。这可能导致系统崩溃或重启,使得网络服务无法正常提供,给目标组织带来经济和声誉损失。例如,用 500K bit/sec 流量的 ICMP echo(PING)包广播到 100 台设备,产生 100 个 PING 回应,便产生 50M bit/sec 流量。这些流量流向被攻击的服务器,便会使这服务器瘫痪。

三、Smurf 攻击的危害

  1. 带宽消耗
大量的 Echo Request 和 Echo Reply 报文充斥目标网络,会迅速消耗网络带宽。例如,用 500K bit/sec 流量的 ICMP echo(PING)包广播到 100 台设备,产生 100 个 PING 回应,便产生 50M bit/sec 流量。这些流量流向被攻击的服务器,使得网络带宽被消耗殆尽,合法用户无法访问网络资源。
  1. 网络拥堵
目标网络的路由器和服务器需要处理大量报文。由于广播地址会将报文转发给目标网络内的所有主机,当目标网络中有大量主机响应时,路由器和服务器的性能会下降。大量的 Echo Request 和 Echo Reply 报文会让它们不堪重负,甚至导致网络崩溃。
  1. 服务不可用
网络拥堵和带宽消耗使得网络服务无法正常提供。Smurf DDoS 攻击一旦成功,便会致使公司服务器瘫痪数小时或数日,造成收入损失并引起客户的不满。同时,这类攻击还有可能是在为一些更危险的行为提供掩护,比如盗窃文件或其他知识产权(IP),给目标组织带来经济和声誉损失。

四、Smurf 攻击的检测

  1. ICMP 应答风暴检测
当出现 Smurf 攻击时,会有大量的 echo 报文。通过对网络进行监控和统计,若发现收到的源 ip 相同的 echo 报文超过设置阈值,就可能遭到了 Smurf 攻击。因为 Smurf 攻击会引发 echo 应答风暴,此时 echo 报文在所有报文中所占的比例会大大增加。
  1. 报文丢失率和重传率
出现 Smurf 攻击时,由于 echo 风暴造成网络负载过重,会出现大量报文丢失和报文重传现象。若有明显的报文丢失率和重传率上升的情况,就有可能遭到了 Smurf 攻击。
  1. 意外连接重置现象
在受到 Smurf 攻击时,由于网络重载,会使其它的网络连接出现意外的中断或重置的现象。如果反复出现意外的中断或重置,也可能受到了 Smurf 攻击。

五、如何防范 Smurf 攻击

1. 避免成为攻击的中间媒介

  • 配置路由器,禁止带广播地址的 ICMP 请求应答报文进网:在网络的出口路由器上配置过滤规则,禁止广播地址的流量通过,阻止攻击者的 Echo Request 报文进入目标网络。例如,可以在路由器的配置界面中进行相应设置,禁止带广播地址的 ICMP 请求应答报文进入网络。这样可以有效减少 Smurf 攻击的流量进入网络,降低被攻击的风险。
  • 禁止将源地址为其他网络数据包从本网络向外部网络发送:通过启用反向路径过滤(Reverse Path Filtering),可以验证数据包的源 IP 地址是否为网络出口合法的路径返回地址,从而过滤掉源 IP 地址伪造的报文。这样可以防止本网络成为攻击的中间媒介,将攻击流量转发到其他网络。

2. 避免网络内主机成为攻击者

  • 禁止对目标地址为广播地址的 ICMP 包响应:网络上的计算机可以通过配置操作系统,禁止对目标地址为广播地址的 ICMP 包进行响应。这样可以避免网络内的主机被攻击者利用,成为攻击的一部分。例如,在 Windows 系统中,可以通过修改注册表或使用组策略来实现这一功能。在 Linux 系统中,可以通过修改网络配置文件来禁止对广播地址的 ICMP 包响应。
  • 对 ICMP 请求包发送确认包:对 ICMP 请求包发送确认包可以帮助网络管理员识别和过滤恶意的 ICMP 请求包。当网络内的主机收到 ICMP 请求包时,可以发送一个确认包给请求方,以确认请求的合法性。如果请求方没有收到确认包,或者收到的确认包与请求不匹配,那么可以认为这个请求是恶意的,从而进行过滤或阻止。

3. 被攻击者与 ISP 协商,通过 ISP 暂时阻止这些流量

  • 配置路由器,禁止带广播地址的 ICMP 请求应答报文进网:与 ISP 协商,让 ISP 在其网络中配置路由器,禁止带广播地址的 ICMP 请求应答报文进入被攻击的网络。这样可以在网络的入口处阻止攻击流量,减轻被攻击的影响。
  • 禁止将源地址为其他网络数据包从本网络向外部网络发送:ISP 可以在其网络中设置过滤规则,禁止将源地址为其他网络的数据包从本网络向外部网络发送。这样可以防止攻击者利用其他网络的 IP 地址进行攻击,同时也可以减少网络中的流量,提高网络的性能。
  • 使用动态分组过滤技术或防火墙:被攻击者可以与 ISP 协商,使用动态分组过滤技术或防火墙来阻止 Smurf 攻击的流量进入自己的网络。防火墙的状态表可以清楚地记录攻击会话的信息,如果发现攻击会话不是本地网络中发出的,就可以像对待其他欺骗
 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家,在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制,能够精准识别 Webshell 的各种类型和变体,无论是复杂的大马,还是隐蔽的内存马,都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能,对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象,立即发出警报,并迅速采取隔离和清除措施,将风险扼杀在萌芽状态。
在防护策略上,墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击,还能深入系统内部,对服务器的文件系统、进程等进行深度检查和保护,确保 Webshell 无法植入和运行。
同时,墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时,专业的安全团队能够迅速介入,进行深入的分析和处理,最大程度减少攻击带来的损失,并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训,为用户提供关于 Webshell 防范的专业知识和最佳实践,帮助用户提升自身的安全意识和防范能力,共同构建坚实的网络安全防线。

热门文章

X

7x24 小时

免费技术支持

15625276999


-->