基于互联网控制信息包(ICMP)的Smurf攻击是一种强力的拒绝服务攻击方法,主要利用的是IP协议的直接广播特性。Smurf攻击对被攻击的网络,以及被利用来做扩散器的网络都具有破坏性。在这种拒绝服务攻击中,主要的角色有:
黑客
中间代理(也就是所说的扩散器)
牺牲品(目标主机)
在这篇文章中,我们将讨论一下Smurf攻击是如何发起的,还介绍一些如何防止自己的网络被攻击或者被利用做为Smurf攻击的中间代理的方法。
Smurf攻击的过程
Smurf攻击并不十分可怕;它仅仅是利用IP路由漏洞的攻击方法。攻击通常分为以下五步:
黑客锁定一个被攻击的主机(通常是一些Web服务器);
黑客寻找可做为中间代理的站点,用来对攻击实施放大(通常会选择多个,以便更好地隐藏自己,伪装攻击);
黑客给中间代理站点的广播地址发送大量的ICMP包(主要是指Ping命令的回应包)。这些数据包全都以被攻击的主机的IP地址做为IP包的源地址;
中间代理向其所在的子网上的所有主机发送源IP地址欺骗的数据包;
中间代理主机对被攻击的网络进行响应。
这时你可能会问,“一个小小的Ping包是如何使一个网站瘫痪的?”。在这儿举例解释一下。假设黑客拥有调制解调器,或者其它的能快速上网方式,能以1Mbps的速度向中间代理机器发送ICMP数据包;再假设中间代理站点有150台主机对这些ICMP包做出了反应。这样,一下子就有150Mbps的攻击数据从中间代理拥向被攻击的主机。黑客可以控制这个过程直到他自己连接到中间代理机器上,并且控制中间代理持续向被攻击主机发送ICMP包。
防止你的网络遭受Smurf攻击
首先,千万不能让你的网络里的人发起这样的攻击。在Smurf攻击中,有大量的源欺骗的IP数据包离开了第一个网络。
通过在路由器上使用输出过滤,你就可以滤掉这样的包,从而阻止从你的网络中发起的Smurf攻击。在路由器上增加这类过滤规则的命令是:
Access-list 100 permit IP {你的网络号} {你的网络子网掩码} any
Access-list 100 deny IP any any
在你局域网的边界路由器上使用这一访问列表的过滤规则,就可以阻止你的网络上的任何人向局域网外发送这种源欺骗的IP数据包。
其次,停止你的网络做为中间代理。如果没有必须要向外发送广播数据包的情况,就可以在路由器的每个接口上设置禁止直接广播,命令如下:
no ip directed-broadcast
还有,如果你的网络比较大,具有多个路由器,那么可以在边界路由器上使用以下命令:
ip verify unicast reverse-path
让路由器对具有相反路径的ICMP欺骗数据包进行校验,丢弃那些没有路径存在的包。最好是运行Cisco快速转发(Cisco Express Forwarding ,CEF),或者其它相应的软件。这是因为在路由器的CEF表中,列出了该数据包所到达网络接口的所有路由项,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包。例如,路由器接收到一个源IP地址为1.2.3.4的数据包,如果CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。
如果你的主机不幸成为了Smurf攻击的目标,在这儿可以找到很多种方法来限制这种拒绝服务攻击造成的影响。在最近新进修改的Cisco IOS操作系统中,被访问列表所拒绝的数据包直接就被丢弃(其丢弃速度几乎接近于硬件速度)。不过每秒钟每个列表行有两个数据包例外,这就是向中间代理回送ICMP不可达消息的数据包。因此,如果你不想做为别人Ping的目标,那么在边界路由器上就直接可以阻塞掉。激活这个列表的命令是:
ip icmp rate-limit unreachable
如果必须允许Ping命令,你可以通过使用命令访问速率(Committed Access Rate ,CAR)来限制ICMP的流量。以下列出了其它Cisco IOS的例子:
config t
Access-list 100 permit icmp any {你的网络号} {你的网络子网掩码} echo-reply
Access-list 100 permit icmp any {你的网络号} {你的网络子网掩码} echo
Interface e1
Rate-limit input access-group 100 512000 8000 8000 conform action transmit exceed action drop
这个例子限制ICMP的传输速率不能超过512Kbps,突发速率不能超过8000bits。所有多出的包将被丢弃。可以有多个速率限制命令同时添加到一个接口上,可以对不同的数据包进行不同的速率限制。
查找黑客
对发起Smurf攻击的机器的定位非常困难,但并不是不可能的。不过在你开始查找之前,应该考虑是否使用法律这一重要武器。如果想,那么保存好所有的日志文件,马上联系FBI。
为了跟踪这类拒绝服务攻击的真正源头,可以采取以下几步:
确定中间代理的IP地址空间,并与他们的网络管理员取得联系。记住你看到的这些包是从中间代理那儿来的,并不是从真正黑客处来的。那些以被攻击的主机的IP地址为源IP地址的进入该网络的数据包,就是黑客使用的源地址欺骗数据包。
从这些数据包上取得源IP地址欺骗的物理地址,并用这些物理地址做一下ip arp(适用于Cisco IOS),得到的结果就是源IP地址欺骗来的最后一跳节点的IP地址。与他们的管理员取得联系。
重复以上几步,直到你找到与跟踪的物理地址相同的路由器。
总结
通过过滤输出数据流,可以使你的网络免受Smurf这类攻击;通过适当地限制广播流量,就可以防止你的网络被利用成为中间代理。如果你遭到攻击,我已经给你提供了一些把灾难降低到最小的手段,还介绍了如何跟踪敌人的方法。Smurf攻击是具有破坏性的,但是合理正确的准备就可以最大限度地降攻击传播的性能和影响力。
