Smurf Attack

Smurf是一種使用ICMP協定進行的DoS(Denial of Service,阻絕服務)攻擊,被攻擊的電腦在短時間內將收到大量的封包,進而佔用它的所有可用頻寬,讓它無法對外提供服務。

Smurf攻擊原理
目前電腦使用的TCP/IP通訊協定中,有一種稱為ICMP的子協定,它用於測試網路通訊以及在網路間傳輸一些控制訊息﹐該協定的應答過程是自動的。

防止Smurf攻擊
從Smurf攻擊過程中我們可以看到,ICMP協定的自動回應功能是駭客成功攻擊的基礎,為了防止Smurf攻擊,安全人員可以設定保護伺服器的防火牆丟棄Echo封包,這樣伺服器就可以避免被攻擊而當機。對於Smurf攻擊需要ISP的協助,由他們直接屏蔽Echo封包,才能成功防止Smurf攻擊佔用WAN頻寬,讓攻擊無法影響伺服器工作。

傳送攻擊封包
首先駭客偽裝被攻擊者的IP,修改封包表頭來源IP,傳送一個帶有Echo請求的廣播封包給某一個區域網路。

廣播攻擊請求
只要區域網路接收到這個封包,Echo請求就會在區域網路內廣播,區域網路中的電腦都會收到這個請求。

攻擊
由於封包在傳送時已經被駭客動過手腳,上面標示請求者為某主機,所以區域網路所有收到封包的電腦就會根據ICMP協定自動回應Echo Reply給該主機。如果駭客將攻擊封包傳送給數百個區域網路,在短時間內,該主機就會收到大量的回應請求訊息,進而將所有頻寬耗盡,無法正常提供服務。

R1(config)#int s0/0/0
R1(config-if)#no ip directed-broadcast


在interface上disable direct broadcast function用來防止smurf attack

另外一種方式是在Border Router上禁止任何來源地址直接發送廣播至內部的特定網段broadcast IP。
比方說R1是Internal Router,R2是Border Router,R1必須透過Ethernet0/0連至R2才能連上Internet。

R1
R1(config)# int f0/0
R1(config-if)# ip address 168.95.1.1 255.255.255.0
!
R1(config)# ip route 0.0.0.0 0.0.0.0 168.95.1.2 255.255.255.0


R2:
R2(config)# ip access-list extended STOP_DOS
R2(config-ext-nacl)# deny ip any host 168.95.1.255
R2(config-ext-nacl)# permit ip any any
!
R2(config)# int f0/0
R2(config-if)# ip address 168.95.1.2 255.255.255.0
!
R2(config)# int s0/0
R2(config-if)# ip address 200.1.1.1 255.255.255.252
R2(config-if)# ip access-group STOP_DOS in
!
R2(config)# ip route 0.0.0.0 0.0.0.0 200.1.1.1.2

Comments

Popular posts from this blog

L2TPv3 Enables Layer 2 Services for IP Networks

TCP/IP 明確擁塞通知 (ECN)

Q-in-Q(Dot1Q Tunnel) Sample Configuration