Smurf Attack
Smurf是一種使用ICMP協定進行的DoS(Denial of Service,阻絕服務)攻擊,被攻擊的電腦在短時間內將收到大量的封包,進而佔用它的所有可用頻寬,讓它無法對外提供服務。 Smurf攻擊原理 目前電腦使用的TCP/IP通訊協定中,有一種稱為ICMP的子協定,它用於測試網路通訊以及在網路間傳輸一些控制訊息﹐該協定的應答過程是自動的。 防止Smurf攻擊 從Smurf攻擊過程中我們可以看到,ICMP協定的自動回應功能是駭客成功攻擊的基礎,為了防止Smurf攻擊,安全人員可以設定保護伺服器的防火牆丟棄Echo封包,這樣伺服器就可以避免被攻擊而當機。對於Smurf攻擊需要ISP的協助,由他們直接屏蔽Echo封包,才能成功防止Smurf攻擊佔用WAN頻寬,讓攻擊無法影響伺服器工作。 傳送攻擊封包 首先駭客偽裝被攻擊者的IP,修改封包表頭來源IP,傳送一個帶有Echo請求的廣播封包給某一個區域網路。 廣播攻擊請求 只要區域網路接收到這個封包,Echo請求就會在區域網路內廣播,區域網路中的電腦都會收到這個請求。 攻擊 由於封包在傳送時已經被駭客動過手腳,上面標示請求者為某主機,所以區域網路所有收到封包的電腦就會根據ICMP協定自動回應Echo Reply給該主機。如果駭客將攻擊封包傳送給數百個區域網路,在短時間內,該主機就會收到大量的回應請求訊息,進而將所有頻寬耗盡,無法正常提供服務。 R1(config)#int s0/0/0 R1(config-if)#no ip directed-broadcast 在interface上disable direct broadcast function用來防止smurf attack 另外一種方式是在Border Router上禁止任何來源地址直接發送廣播至內部的特定網段broadcast IP。 比方說R1是Internal Router,R2是Border Router,R1必須透過Ethernet0/0連至R2才能連上Internet。 R1 R1(config)# int f0/0 R1(config-if)# ip address 168.95.1.1 255.255.255.0 ! R1(config)# ip route 0.0.0.0 0.0.0.0 168.95.1.2 255.255.255.0 R2:...