Smurf攻击

Smurf攻击探讨

 

拒绝服务(DoS)攻击是目前黑客广泛使用的一种攻击手段，它通过独占网络资源，使其他主机不能进行正常访问，从而导致网络瘫痪。DoS攻击主要分为Smurf，SYNFlood和Fraggle3种。在Smurf攻击中，它并不直接对目标主机发送服务请求包"所谓的Smurf攻击是指，攻击者在远程机器上发送ICMP应答请求服务，其目标主机不是某一个主机的IP地址，而是某个网络的广播地址，其请求包的源IP不是发起攻击的IP地址，而是加以伪装的将要攻击的主机IP地址大量主机收到ICMP应答请求服务包后，按源IP返回请求信息，从而导致受攻击主机的服务性能下降，甚至崩溃。由于Smurf攻击中运用了多点多路同步攻击的先进手段，可以更有效地使目标系统的网络端口阻塞，拒绝为正常系统进行服务，同时也更好地隐藏了攻击者，保护攻击者不易被受攻击者发现。
要想深入的了解Smurf攻击的基本原理，我们首先要具备一个基本的前提知识： ICMP及其广播机制，下面就先来简单的介绍一下它。
一 ICMP及其广播机制
ICMP通常被看作是IP层的一个组成部分，它传递差错报文和其它的控制信息。每个ICMP可以用一个四元组{报文类型，类型代码，检验和，与特定类型和代码相关的信息}来表示。ICMP报文共有15种类型，每种类型有一个或多个不同的代码表示不同的控制请求。如Ping程序就是发送一个回显请求包文给主机，并等待返回ICMP回显应答，从而判断主机是否可达。一个IP网络可以有3种地址：单播地址、广播地址和多播地址。所谓的广播就是指向特定网络上的所有主机发送信息。其中广播地址可以分为以下4类。
1 受限的广播地址
受限的广播地址是255.255.255.255该地址用于主机配置过程中IP数据报的目的地址。在任何情况下，路由器都不转发目的地址为受限的广播地址的数据报，这样的数据报仅出现在本地网络中。
2 指向网络的广播地址
指向网络的广播地址为主机标识全为1的地址。例如，A类网络的广播地址为netID.255.255.255，其中netID为A类网络的ID。一个路由器应转发指向网络的广播，但它也有一个不进行转发的选择。
3 指向子网的广播地址
指向子网的广播地址为主机号全为1，且有特定子网ID的地址。作为子网直接广播地址的IP地址需要与子网掩码相结合。例如，路由器收到发往128.1.2.255的数据报，当B类网络地址子网掩码为255.255.255.0时，该地址就是指向特定子网的广播地址;如子网掩码为255.255.254.0时，该地址就不是指向子网的广播地址。
4 指向所有子网的广播地址
指向所有子网的广播也需要了解目的网络的子网掩码，以便与指向网络的广播区别开。指向所有子网的广播地址的子网ID和主机ID全为1。例如，如果目的子网掩码为255.255.255.0，那么IP地址128.1.255.255是一个指向所有子网的广播地址。虽然RFC922要求将一个指向所有子网的广播传送给所有子网，但庆幸的是，当前的路由器并没有这么做，因为一个因错误配置而没有子网掩码的主机会把本地的广播传送到所有子网。
二 Smurf攻击原理及影响
ICMP可以用来传递主要的状态和错误信息，比如更改网络的配置和其它的网络传输问题。因此，ICMP是一个诊断主机和网络设备及配置问题的一个有价值的工具。但同时，ICMP也成为用来攻击网络或主机的一种途径，导致网络重载进而拒绝为合法用户提供服务。Smurf攻击就是利用发送ICMP应答包来导致目标主机的服务拒绝攻击。在Smurf攻击中，ICMP应答请求数据包中的目标IP是一个网络的广播IP地址，源IP地址是其要攻击主机的IP地址。这种攻击方式主要由3部分组成：攻击者、中间媒介(主机、路由器和其它网络设备)和被攻击者。当攻击者发送一个ICMP请求应答包时，他并不将自己机器的IP作为源IP。相反，攻击者将被攻击对象的IP作为包的源IP。当中间媒介收到一个指向其所在网络的广播地址后，中间媒介将向源IP(被攻击者的IP)发送一个ICMP应答包。当一个网络的机器均对ICMP应答请求包做出响应时，可能会导致网络拥塞或拒绝服务甚至崩溃。其攻击过程的示意图如图1所示，其中R1和R2分别为2个路由器。

在图1中，攻击者A的真正的IP为204.192.0.2，但数据包中的源IP地址却伪装成被攻击者V的IP地址63.119.3.221。随后，攻击者A向中间媒介网络发送ICMP广播消息，其数据报的目标IP地址为94.56.255.255。当中间媒介网络的主机收到ICMP请求包后，将按源目标IP地址向主机V返回请求应答。在这里，中间媒介可以看作是一个信号放大器，其本身性能也可能受到Smurf攻击的影响。比如，网络或子网B中有100台主机，攻击者每秒钟发送768Kbp的ICMP应答请求包。网络B中的100台主机收到带有该网络广播地址的ICMP包后，将向主机V发送100个应答包。结果，ICMP应答请求包经过中间媒介B放大后，网络的流量就增加了76.8Mbp/s。随后所有的应答包均通过R2被送往受到攻击的主机V。因此，对于一个100M的网络及低端路由器来说，重载和性能下降是必然的结果。而受攻击的主机就可能导致拒绝服务，甚至崩溃。攻击者现在可以利用一系列的攻击工具来向中间媒介发送多个ICMP请求。同时，攻击者可以用网络扫描器(如Sam下的Sniffit，PC上的NetXray)来查找那些对广播数据包不进行过滤的路由器，使得发起这种攻击更容易。
三 Smurf攻击的特征
Smurf攻击的特征为：1短时间内大量的网络传输；2其中ICMP的echo响应报文占绝大多数；3这些echo响应的源地址大都来自于某几个网段。
四 Smurf攻击的检测
1 ICMP应答风暴的检测
对网络进行监控和统计发现，若出现Smurf攻击，则会出现大量的echo报文.由于存在echo应答风暴，此时，echo报文在所有报文中所占的比例大大增加.所以，如出现这种情况，就可能遭到了Smurf攻击。
2 报文丢失率和重传率的上升
由于echo风暴造成网络负载过重，会出现大量报文丢失和报文重传现象。所以，若有明显的报文丢失率和重传率上升现象，就有可能遭到了Smurf攻击。
3 常出现意外的连接重置的现象
在受到Smurf攻击时，由于网络重载，会使其它的网络连接出现意外的中断或重置的现象。如反复出现意外的中断或重置，也可能受到了Smurf攻击。
五 Smurf攻击的防御措施
对Smurf攻击的防御可以分别在源站点、中间媒介和目标站点3个方面采取步骤，以限制Smurf攻击的影响。
1 避免站内主机成为攻击者
网络应在与子网相连的一边对欺骗IP包进行过滤。比如在路由器端可以增加一个功能，通过向某一ICMP包的源IP发送一个确认包来判断此包是否是欺骗的IP包，保证内部网络中发出的所有传输信息都具有合法的源地址。
2 避免成为Smurf攻击的中间媒介
有2种选择以阻塞Smurf攻击的中间媒介。第一种方法是在路由器端加以配置，拒绝接收带有广播地址的ICMP应答请求包，防止这些分组到达自己的网络。如果不能阻塞所有入站echo请求，用户就需要禁止路由器把网络广播地址映射成为LAN广播地址。制止了这个映射过程，自己的系统就不会再收到这些echo请求。如果使用Cisco路由器，制止网络广播映射成为LAN广播的方法是在LAN接口的配置模式中输入命令：no ip directed-broadcast
3 防止成为Smurf攻击
跟踪Smurf攻击是困难的，但如果有ISP的合作，对其进行跟踪也是可能的。在前面的Smurf攻击原理中，已介绍了ICMP应答请求包的源IP是经过伪装的将要被攻击的主机IP，所以要从ICMP的源IP是无法跟踪Smurf攻击的发起者的。可以在ACL(Access control layer)记录下ICMP信息包的MAC地址，通过MAC地址来跟踪Smurf攻击。比如，在Cisco路由器的IOS11.1及其以后的版本中，均可在指定的接口记录和处理包的信息，其中就包括MAC地址。以下是一个Cisco2610路由器(V11.2)中记录下的一个日志信息：
Sep1023：17：01PDT：%SEC-6-IPACCESSLOGDP：list101permitted icmp
10.0.7.30(FastEthernet1/00060.3e2f.6e41)->10.30.248.3(8/0)，5packets
从以上信息中，读出此链接的MAC地址0060。3e2f。6e41，在利用show ip arp指令即可找到此链接中的上一跳的IP。如：
netlab# show ip arp0060.3e2f.6e41
Protocol Address Age(min) Hardware Addr Type Interface
Internet10.0.183.65 32 0060.3e2f.6e41 ARPA FastEthernet1/0
可以看出，10.0.183.165就是ICMP包的上一跳IP地址。采用同样的处理方法，最终会找到发起Smurf攻击主机的真正IP。
六 总结
随着Smurf攻击手段不断改进和完善使之更难防范，要尽可能地减少Smurf攻击危害，必须全面综合制定安全策略，实施多种安全手段(切记两点：要想在Internet根除Smurf攻击，一方面需在攻击源头阻止IP欺骗，另一方面反弹站点要拒绝任何以广播方式发送的IP报文)才可能最大限度地降低危害。