网络攻防之Smurf攻击与防御

一.前言
随着Internet在全球范围内的日益流行，网络攻击也日益增多，攻击的种类也呈现指数增长趋势。Smurf攻击为DDoS攻击中较为常见的一种。该攻击方式利用TCP/IP协议自身的缺陷，结合使用IP欺骗和ICMP回复方法，使网络因响应ICMP回复请求而产生大量的数据流量，导致网络严重的拥塞或资源消耗，引起目标系统拒绝为合法用户提供服务，从而对网络安全构成重大威胁。

二.Smurf攻击
 
与通常的DoS攻击不同，Smurf攻击并不直接对目标主机发送服务请求包。所谓的Smurf攻击是指，攻击者在远程机器上发送ICMP应答请求服务，其目标主机不是某一个主机的IP地址，而是某个网络的广播地址，其请求包的源IP不是发起攻击的IP地址，而是加以伪装的将要攻击的主机IP地址。大量主机收到ICMP应答请求服务包后，按源IP返回请求信息，从而导致受攻击主机的服务性能下降，甚至崩溃。分析和了解Smurf攻击原理，并发掘出检测和防御这种攻击的方法是一项重要的工作。

三.Smurf攻击原理及影响
 
ICMP可以用来传递主要的状态和错误信息，比如更改网络的配置和其它的网络传输问题。因此，ICMP是一个诊断主机和网络设备及配置问题的一个有价值的工具。但同时，ICMP也成为用来攻击网络或主机的一种途径，导致网络重载进而拒绝为合法用户提供服务。Smuf攻击就是利用发送ICMP应答包来导致目标主机的服务拒绝攻击。
在Smurf攻击中，ICMP应答请求数据包中的目标IP是一个网络的广播IP地址，源IP地址是其要攻击主机的IP地址。这种攻击方式主要由3部分组成：攻击者、中间媒介（主机、路由器和其它网络设备）和被攻击者。当攻击者发送一个ICMP请求应答包时，他并不将自己机器的IP作为源IP。相反，攻击者将被攻击对象的IP作为包的源IP。当中间媒介收到一个指向其所在网络的广播地址后，中间媒介将向源IP（被攻击者的IP）发送一个ICMP应答包。当一个网络的机器均对ICMP应答请求包做出响应时，可能会导致网络拥塞或拒绝服务甚至崩溃。其攻击过程的示意图如下图所示，其中R1和R2分别为2个路由器。

在上图中，攻击者A的真正的IP为204.192.02，但数据包中的源IP地址却伪装成被攻击者V的IP地址63.119.3.221。随后，攻击者A向中间媒介网络发送ICMP广播消息，其数据报的目标IP地址为94.56.255.255。当中间媒介网络的主机收到ICMP请求包后，将按源目标IP地址向主机V返回请求应答。在这里，中间媒介可以看作是一个信号放大器，其本身性能也可能受到Smurf攻击的影响。比如，网络或子网B中有100台主机，攻击者每秒钟发送768 Kbp的ICMP应答请求包。网络B中的100台主机收到带有该网络广播地址的ICMP包后，将向主机V发送100个应答包。结果，ICMP应答请求包经过中间媒介B放大后，网络的流量就增加了76.8 Mbp/s。随后所有的应答包均通过R2被送往受到攻击的主机V。因此，对于一个100 M的网络及低端路由器来说，重载和性能下降是必然的结果。而受攻击的主机就可能导致拒绝服务，甚至崩溃。攻击者现在可以利用一系列的攻击工具来向中间媒介发送多个ICMP请求。同时，攻击者可以用网络扫描器（如 Sam下的Sniffit，PC上的NetXray）来查找那些对广播数据包不进行过滤的路由器，使得发起这种攻击更容易。
 
四.Smurf攻击的检测
1.ICMP应答风暴的检测
对网络进行监控和统计发现，若出现Smurf攻击，则会出现大量的echo报文。由于存在echo应答风暴，此时，echo报文在所有报文中所占的比例大大增加。所以，如出现这种情况，就可能遭到了Smurf攻击。
2.报文丢失率和重传率的上升
由于echo风暴造成网络负载过重，会出现大量报文丢失和报文重传现象。所以，若有明显的报文丢失率和重传率上升现象，就有可能遭到了Smurf攻击。
3.常出现意外的连接重置的现象
在受到Smurf攻击时，由于网络重载，会使其它的网络连接出现意外的中断或重置的现象。如反复出现意外的中断或重置，也可能受到了Smurf攻击。
 
五.Smurf攻击的防御措施
对Smurf攻击的防御可以分别在源站点、中间媒介和目标站点3个方面采取步骤，
以限制Smurf攻击的影响。
1.避免站内主机成为攻击者
网络应在与子网相连的一边对欺骗IP包进行过滤。比如在路由器端可以增加一个功能，通过向某一ICMP包的源IP发送一个确认包来判断此包是否是欺骗的IP包，保证内部网络中发出的所有传输信息都具有合法的源地址。
 
2.避免成为Smurf攻击的中间媒介
有2种选择以阻塞Smurf攻击的中间媒介。第一种方法是在路由器端加以配置，拒绝接收带有广播地址的ICMP应答请求包，防止这些分组到达自己的网络。如果不能阻塞所有入站echo请求，用户就需要禁止路由器把网络广播地址映射成为LAN广播地址。制止了这个映射过程，自己的系统就不会再收到这些echo请求。
如果使用Cisco路由器，制止网络广播映射成为LAN广播的方法是在LAN接口的配置模式中输入命令：

3.防止成为Smurf攻击
跟踪Smurf攻击是困难的，但如果有ISP的合作，对其进行跟踪也是可能的。在前面的Smurf 攻击原理中，已介绍了ICMP应答请求包的源IP是经过伪装的将要被攻击的主机IP，所以从ICMP的源IP是无法跟踪Smurf攻击的发起者的。可以在ACL(Accescontrol layer)记录下ICMP信息包的MAC地址，通过MAC地址来跟踪Smurf攻击。比如，在Cisco路由器的IOS11.1及其以后的版本中，均可在指定的接口记录和处理包的信息，其中就包括MAC地址。以下是一个Cisco2610路由器(V11.2)中记录下的一个日志信息：

从以上信息中，读出此链接的MAC地址0060.3e2f.6e41，在利用show ip arp指令即可找到此链接中的上一个的IP，如：

可以看出，10.0.183.165就是ICMP包的上一个IP地址。采用同样的处理方法，最终会找到发起Smurf攻击主机的真正IP。
 
六.实施DDoS防护系统
1.高防服务器
德迅云安全部署的T级别数据中心，具备完善的机房设施，核心骨干网络有效保证高品质的网络环境和丰富的带宽资源。搭载赠送：自主化管理平台、德迅卫士（主机安全防火墙）、WEB云防护（一站式网站安全加速）、1V1专家技术支撑，竭诚为您提供安全、可靠、稳定、高效的服务体验。
DDoS清洗：近源清洗多种流量清洗部署方案，无损防御各种DDoS攻击
CC攻击防御：5s发现恶意请求，10s快速阻断攻击，事前拦截、事后溯源、全方位防黑
WEB应用防火墙：防SQL注入、XSS跨站，后门隔离保护、WEB SHELL上传、非法HTTP协议请求。
德迅卫士：系统层安全软件，为用户远程桌面扫描登陆、手机短信验证登陆等。一键后台优化服务器权限、威胁组件、威胁端口。

2.使用安全加速SCDN
安全加速（Secure Content Delivery Network，SCDN）是德迅云安全推出的集分布式DDoS防护、CC防护、WAF防护、BOT行为分析为一体的安全加速解决方案。已使用内容分发网络（CDN）或全站加速网络（ECDN）的用户，购买服务后可为加速域名一键开启安全防护相关配置，全方位保障业务内容分发。
Web攻击防护：OWASP TOP 10威胁防护，AI检测和行为分析，智能语义解析引擎
应用层DDoS防护：CC、HTTP Flood攻击防御，慢连接攻击防御
合规性保障：自定义防护规则，访问日志审计，网页防篡改，数据防泄漏
HTTP流量管理：支持HTTP流量管理，请求头管理
安全可视化：四大安全分析报表，全量日志处理，实时数据统计

结语
网络安全就是生产力，学习相关安全知识，更加有利于抵御日趋严重的网络攻击，防范于未然。Smurf攻击是一种常见的网络安全威胁，对网络服务的正常运行造成了严重危害。为了有效抵御Smurf攻击，网络管理者需要采取相应的网络安全防护措施，加强网络安全防护能力，保障网络的稳定和安全运行。同时，广大网络用户也要增强网络安全意识，避免成为网络攻击的帮凶，共同维护网络的安全与稳定。