Entry № 1180
Smurf 攻击
Smurf 攻击 是什么?
Smurf 攻击向网络广播地址发送伪造源 IP 为受害者的 ICMP echo 请求,使该网络上所有主机向受害者回应的早期放大型 DDoS 攻击。
Smurf 攻击中,攻击者向一个或多个网络的有向广播地址发送 ICMP echo-request(ping),并将源 IP 伪造为受害者地址。这些网络中的所有主机都会向受害者回送 ICMP echo 回应,使一小股攻击流量按响应主机数量被放大。Smurf 在 1990 年代普遍启用有向广播的互联网拓扑中非常有效。防御措施虽然简单,但需要整个行业部署:在路由器上禁用 IP 有向广播(如 Cisco 的 no ip directed-broadcast 及 RFC 2644 默认行为)、在入口做源地址过滤(BCP 38),并在边界对 ICMP 限速。基于现代默认配置,Smurf 大体上已成为历史,但概念相似的广播/组播滥用仍时有出现。
● 示例
- 01
攻击者伪造受害者 IP,向多个远端 /24 网络的广播地址发起 ping,每个网络都对攻击进行放大。
- 02
渗透测试发现内部路由器仍允许有向广播,使内部 Smurf 风格的洪水成为可能。
● 常见问题
Smurf 攻击 是什么?
向网络广播地址发送伪造源 IP 为受害者的 ICMP echo 请求,使该网络上所有主机向受害者回应的早期放大型 DDoS 攻击。 它属于网络安全的 攻击与威胁 分类。
Smurf 攻击 是什么意思?
向网络广播地址发送伪造源 IP 为受害者的 ICMP echo 请求,使该网络上所有主机向受害者回应的早期放大型 DDoS 攻击。
如何防御 Smurf 攻击?
针对 Smurf 攻击 的防御通常结合技术控制与运营实践,详见上方完整定义。