Smurf攻击是什么

蓝精灵攻击是一种病毒攻击，以最初发起这种攻击的程序“蓝精灵”命名。这种攻击方法结合了IP欺骗和ICMP回复方法，以大量网络传输淹没目标系统，导致目标系统拒绝为正常系统服务。

蓝精灵攻击是一种病毒攻击，以最初发起这种攻击的程序“蓝精灵”命名。这种攻击方法结合了IP欺骗和ICMP回复方法，以大量网络传输淹没目标系统，导致目标系统拒绝为正常系统服务。

攻击过程

Smurf攻击通过使用其回复地址设置为受害网络广播地址的ICMP回复请求(ping)数据包来淹没受害主机，最终导致网络的所有主机回复此ICMP回复请求，从而导致网络拥塞。更复杂的Smurf将源地址改为第三方受害者，最终导致第三方崩溃。

攻击过程如下:伍德利攻击者向一个拥有大量主机和互联网连接的网络的广播地址发送欺骗性Ping数据包(echo Request)。这个目标网络叫反弹站点，欺骗性Ping包的源地址就是Woodly要攻击的系统。

这种攻击的前提是，路由器收到发往IP广播地址(如206.121.73.255)的数据包后，会将其视为广播数据包，并将以太网广播地址FF:FF:FF:FF:FF:FF: FF:这样，由于路由器在互联网上收到数据包，所以会广播到本地网段的所有主机。

读者一定会想到接下来会发生什么。网段中的所有主机都会向欺诈数据包的IP地址发送回应响应消息。如果这是一个大的以太网网段，超过500台主机可以回复收到的回应请求。

由于大多数系统会尽快处理ICMP传输信息，所以伍德利攻击者将数据包的源地址设置为目标系统，因此目标系统很快就会被大量的回声信息吞噬，这很容易阻止系统处理任何其他网络传输，从而导致拒绝为正常系统服务。

这种攻击不仅影响目标系统，还会影响目标公司的互联网连接。如果弹跳站点有T3连接(45Mbps)，并且目标系统所在的公司使用租用线路(56Kbps)，则进出公司的所有通信都将停止。

这种攻击很少见，大部分网络对此免疫。

攻击检测

在分析蓝精灵攻击原理的基础上，提出了一种蓝精灵攻击的检测方法。

ICMP响应风暴的检测

对网络的监控和统计表明，如果发生Smurf攻击，会出现大量的回送消息。由于回声响应风暴，回声消息在所有消息中的比例大大增加。所以，如果发生这种情况，可能会被蓝精灵攻击。

消息丢失率和重传率的增加

由于回波风暴造成的网络负载较重，会造成大量报文丢失和重传。因此，如果消息丢失率和重传率明显增加，就有可能受到Smurf的攻击。

经常会发生意外的连接重置

当受到Smurf攻击时，其他网络连接会因网络过载而意外中断或重置。如果反复出现意外中断或复位，也有可能受到Smurf的攻击。

防御方法

击败Smurf攻击最简单的方法就是过滤边界路由器的回送应答包，然后丢弃，这样网络就可以避免被歼灭。

遭受攻击

如果您的主机不幸成为Smurf攻击的目标，有许多方法可以限制这种拒绝服务攻击的影响。在新修改的Cisco IOS操作系统中，被访问列表拒绝的数据包被直接丢弃(丢弃速度几乎接近硬件速度)。但是每个列表行每秒有两个数据包，即向中间代理发送ICMP不可达消息回思科学习视频下载中心的数据包。所以，如果不想成为别人Ping的目标，可以直接在边界路由器上屏蔽。激活此列表的命令是:ip icmp速率限制不可达。如果必须允许Ping命令，您可以使用承诺访问速率来限制ICMP流量。下面列出了思科IOS的其他示例:config t access-list 100允许icmp any {您的网络号} {您的网络子网掩码} echo-reply access-list 100允许ICMP any {您的网络号} {您的网络子网掩码} echo接口E1速率限制输入访问组100 512000 8000 8000符合操作传输超过操作丢弃此示例将ICMP的传输速率限制为512Kbps，突发速率限制为8000位。所有额外的数据包都将被丢弃。一个接口可以同时添加多个限速命令，不同的数据包可以进行不同的限速。找黑客

很难定位发动Smurf攻击的机器，但也不是不可能。但是在你开始搜索之前，你应该考虑一下是否要把法律作为一个重要的武器。

为了追踪这种拒绝服务攻击的真正来源，可以采取以下步骤:

确定中间代理的IP地址空，并联系他们的网络管理员。请记住，您看到的包来自中间代理，而不是真正的黑客。那些以被攻击主机的IP地址作为源IP地址进入网络的数据包就是黑客使用的源地址欺骗数据包。从这些数据包中获取被源ip地址欺骗的物理地址，用这些物理地址做ip arp(适用于Cisco IOS)，结果就是被源IP地址欺骗的最后一跳节点的IP地址。联系他们的管理员。重复上述步骤，直到找到与被跟踪路由器具有相同物理地址的路由器。