Smurf 攻击可以是极具毁灭性的,不管是对于该攻击的目标网络或者是对帮助大量传送该攻击的网络而言都一样。 Smurf 攻击本身所使用的是一种网际网络控制讯息协议(Internet Control Message Protocol ,ICMP),对于 IP 通讯协议所内建的直接广播(broadcast)功能而言,不啻是一项重大的打击。 在这种阻断服务(Denial of Service,DoS)攻击行动中, 牵涉到的对象包括了:
· 骇客
· 中间者(又被称为传播者)
· 受害者
我们将会探讨这种网络攻击行动是如何激活的,以及你要怎样预防自己的网络成为受害者或 Smurf 攻击的传播者。
Smurf 攻击是如何运作的
Smurf 攻击并非很复杂,它只是一种路由递送(routing)然后让 IP 层做它原先应该做的事情。 攻击行动大致可分成五个简单的步骤:
1. 骇客设定好欲加害的目标网站的 IP 地址(你的网站服务器通常会是个很不错的明显目标)。
2. 骇客设定好某个中间网站好大量传播攻击信息(通常会有数个网站被选定,如此一来可以让人对其攻击捉摸不定)。
3. 骇客对中间网站的广播地址(broadcast address)传送大量的 ICMP(ping,layer 3)资料。这些资料封包的来源地址被伪装成受害网站的地址。
4. 中间网站在 layer 2 将该广播信息传给它的子网络的所有主机。
5. 这些主机将回复信息传给受害网站。
你可能会问,一点点 ping 的资料传送怎幺会把一个网站搞垮?假设某个骇客有一个 Cable Modem 或者是 T-1 联机,它传送 1-Mbps 的造假 ICMP 信息到中间网站。现在,如果这些中间网站有 150 个主机响应这个 ICMP 信息,这幺一来,就有 150-Mbps 的攻击信息从传播者(amplifiers)大量传送到受害网站。 只要骇客的联机还在以及这些传播者持续广播 ICMP 信息,他就可以保持攻击不断。
