攻击与威胁
Smurf 攻击
定义
向网络广播地址发送伪造源 IP 为受害者的 ICMP echo 请求,使该网络上所有主机向受害者回应的早期放大型 DDoS 攻击。
Smurf 攻击中,攻击者向一个或多个网络的有向广播地址发送 ICMP echo-request(ping),并将源 IP 伪造为受害者地址。这些网络中的所有主机都会向受害者回送 ICMP echo 回应,使一小股攻击流量按响应主机数量被放大。Smurf 在 1990 年代普遍启用有向广播的互联网拓扑中非常有效。防御措施虽然简单,但需要整个行业部署:在路由器上禁用 IP 有向广播(如 Cisco 的 no ip directed-broadcast 及 RFC 2644 默认行为)、在入口做源地址过滤(BCP 38),并在边界对 ICMP 限速。基于现代默认配置,Smurf 大体上已成为历史,但概念相似的广播/组播滥用仍时有出现。
示例
- 攻击者伪造受害者 IP,向多个远端 /24 网络的广播地址发起 ping,每个网络都对攻击进行放大。
- 渗透测试发现内部路由器仍允许有向广播,使内部 Smurf 风格的洪水成为可能。
相关术语
DDoS 放大攻击
利用 UDP 服务对伪造请求返回远大于请求的应答,使小规模攻击者也能制造巨大的洪水流量的 DDoS 技术。
分布式拒绝服务攻击 (DDoS)
由大量分布式来源同时发起的拒绝服务攻击,通常借助僵尸网络,旨在压垮目标的带宽、基础设施或应用。
Fraggle 攻击
Smurf 攻击的 UDP 变种,将伪造的 UDP echo 或 chargen 包发送到网络广播地址,使所有响应主机向受害者发起洪水流量。
IP 欺骗
伪造网络数据包的源 IP 地址,以冒充其他主机、绕过过滤或放大拒绝服务攻击。
DNS 放大攻击
通过开放 DNS 解析器实施的反射型 DDoS 攻击:攻击者用伪造的受害者 IP 发送小型 DNS 查询,使解析器向受害者返回大型响应。
拒绝服务攻击 (DoS)
通过耗尽系统的带宽、算力、内存或应用层资源,使合法用户无法访问服务的攻击。