计算机网安全教程.ppt

原理：攻击者伪造一个ICMP echo请求包，其源地址为目标受害者地址，目的地址为中间脆弱网络的广播地址，并将该echo请求包发送到中间脆弱网络。中间脆弱网络中的主机收到该echo请求包时，会以echo响应包作为回答，而这些包最终被发送到目标受害者。这样大量同时返回的echo响应数据包造成目标网络严重拥塞、丢包，甚至完全不可用等现象。 Smurf攻击手段 Smurf攻击手段 攻击特征 涉及到三方：攻击者，中间目标网络，受害者 以较小的网络带宽资源，通过放大作用，吃掉较大带宽的受害者系统 Smurf放大器 Smurf放大器网络：不仅允许ICMP Echo请求发给网络的广播地址，并且允许ICMP Echo-Reply发送回去 这样的公司越多，对Internet的危害就越大 Smurf攻击手段 实施Smurf攻击 需要长期的准备，首先找到足够多的中间网络 集中向这些中间网络发出ICMP Echo包 Smurf攻击手段 针对最终受害者 没有直接的方法可以阻止自己接收ICMP Echo Reply消息 在路由器上阻止这样的应答消息，但是，结果是，路由器本身遭受了DoS攻击 与中间目标网络联系 针对中间网络 关闭外来的IP广播消息，但是，如果攻击者从内部机器发起攻击，仍然不能阻止smurf攻击 配置操作系统，对于广播地址的ICMP包不响应 Smurf攻击的防止措施 针对发起攻击的主机及其网络：