什么是 Smurf 攻擊？

Smurf 攻擊是一種分布式拒絕服務 (DDoS) 攻擊，攻擊者嘗試使用互聯(lián)網(wǎng)控制消息協(xié)議 (ICMP) 數(shù)據(jù)包向目標服務器發(fā)起洪水攻擊。攻擊者使用目標設備的欺騙性 IP 地址向一個或多個計算機網(wǎng)絡發(fā)出請求，計算機網(wǎng)絡將響應目標服務器，因此會放大初始攻擊流量并可能使目標不堪重負，使其無法訪問。攻擊媒介通常被認為是已解決的漏洞，并且不再普遍存在。

Smurf 攻擊的工作原理

盡管 ICMP 數(shù)據(jù)包可用于 DDoS 攻擊，但通常它們在網(wǎng)絡管理中起著重要的作用。利用 ICMP 數(shù)據(jù)包的 ping 應用程序被網(wǎng)絡管理員用于測試聯(lián)網(wǎng)的硬件設備，例如計算機、打印機或路由器。ping 通常被用于查看設備是否正常運行，并跟蹤消息從源設備到目標再返回源的往返時間。不幸的是，由于 ICMP 協(xié)議不包括握手，因此接收請求的硬件設備無法驗證請求是否合法。

這種 DDoS 攻擊就好比一個惡作劇的人打電話給辦公室經(jīng)理，冒充是公司的首席執(zhí)行官。惡作劇者要求經(jīng)理讓每個員工回電給他的私人號碼，說明他們的工作情況。惡作劇者給出的回叫號碼是目標受害者的號碼，因此受害者隨后會收到許多呼叫，辦公室里有多少人，就會接到多少次。

以下是 Smurf 攻擊的工作方式：

1. 首先，Smurf 惡意軟件構(gòu)建一個欺騙性數(shù)據(jù)包，其源地址設置為目標受害者的真實 IP 地址。
2. 然后，數(shù)據(jù)包被發(fā)送到路由器或防火墻的 IP 廣播地址，后者將請求發(fā)送到廣播網(wǎng)絡內(nèi)的每個主機設備地址，因此網(wǎng)絡上聯(lián)網(wǎng)設備有多少，就會增加多少個請求。
3. 網(wǎng)絡中的每個設備都接收來自廣播設備的請求，然后使用 ICMP Echo Reply 數(shù)據(jù)包響應目標的欺騙性地址。
4. 目標受害者隨后收到大量的 ICMP Echo Reply 數(shù)據(jù)包，可能會不堪重負，并導致對合法流量拒絕服務。

如何防護 Smurf 攻擊？

多年來，已經(jīng)針對這種攻擊媒介開發(fā)了幾種防護策略，在很大程度上，這種漏洞利用被視為已得到解決。在數(shù)量有限的舊有系統(tǒng)上，可能仍需要應用防護技術。一個簡單的解決方案是在每個網(wǎng)絡路由器和防火墻上禁用 IP 廣播地址。默認情況下，較舊的路由器可能會啟用廣播，而較新的路由器可能已將其禁用。在發(fā)生 Smurf 攻擊的情況下，京東云星盾 通過阻止 ICMP 數(shù)據(jù)包到達目標源服務器消除攻擊流量。