面对“Smurf攻击”,应该如何抵御?
日期:2007-05-14 荐:
.Ips884
Smurf是用别人的账号安装到一个计算机上的,它会用一个伪造的源地址连续ping一个或多个计算机网络,这就导致所有计算机所响应的计算机并不是实际发送这个信息包的计算机。而这个伪造的源地址实际上就是攻击的目标,它将被数量极多的响应信息所淹没。对这个伪造信息包做出响应的计算机就成为这次攻击的不知情的同谋。下面就针对Smurf DDoS攻击的基本特性介绍一些抵御策略:
1.Smurf为了能工作,必须要找到攻击平台。如果路由器上启动了IP广播功能,那么这个功能就允许Smurf发送一个伪造的ping信息包,然后将它传播到整个计算机网络中。因此建议将所有路由器上IP的广播功能都禁止。
2.攻击者也有可能从LAN内部发动一个Smurf攻击。在这种情况下,禁止路由器上的IP广播功能就没有用了。为了避免这种攻击,许多操作系统都提供了相应设置,防止计算机对IP广播请求做出响应。
3.如果攻击者要成功地利用你成为攻击平台,你的路由器必须要允许信息包以不是从你所在内网中产生的源地址离开网络。因此要配置路由器,让它将不是由你的内网中生成的信息包过滤出去,这也就是所谓的网络出口过滤器功能。
4.ISP则应使用网络入口过滤器,以丢掉那些不是来自一个已知范围内IP地址的信息包。
5.对边界路由器的回音应答(echo reply)信息包进行过滤,这样就能阻止其“命中”Web服务器和内网。对于使用Cisco路由器的用户,可以选择CAR (Committed Access Rate,承诺访问速率)。
如果自己成为了攻击的目标,那么就要请求ISP对回音应答信息包进行过滤并丢弃。如果不想完全禁止回音应答,那么可以有选择地丢弃那些指向自己的公用Web服务器的回音应答信息包。
标签: