Smurf DDoS 攻擊

Smurf 攻擊是一種 DDoS 攻擊,攻擊者使用 ICMP 請求淹沒受害者。

學習目標

閱讀本文後,您將能夠:

  • 定義 Smurf 攻擊
  • 瞭解 Smurf 攻擊的運作方式
  • 實作 Smurf 攻擊的緩解策略

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是 Smurf 攻擊?

Smurf 攻擊是一種分散式阻斷服務 (DDoS) 攻擊,其中攻擊者試圖使用網際網路控制訊息通訊協定 (ICMP) 封包淹沒目標伺服器。透過使用目標裝置的偽造 IP 位址向一或多個電腦網路發出要求,電腦網路會對目標伺服器做出回應,從而放大初始攻擊流量並可能壓垮目標,使其無法存取。這種攻擊媒介通常被認為是一個已解決的漏洞,不再普遍存在。

Smurf 攻擊如何運作?

儘管 ICMP 封包可用於 DDoS 攻擊,但通常它們在網路管理中起著重要的作用。利用 ICMP 封包的 ping 應用程式被網路管理員用於測試聯網的硬體裝置,例如電腦、印表機或路由器。ping 通常被用於查看裝置是否正常運作,並追蹤訊息從來源裝置到目標再返回來源的往返時間。不幸的是,由於 ICMP 通訊協定不包括交握,因此接收請求的硬體裝置無法驗證請求是否合法。

這種 DDoS 攻擊就好比一個惡作劇的人打電話給辦公室經理,冒充是公司的 CEO。惡作劇者要求經理讓每個員工回電給他的私人號碼,說明他們的工作情況。惡作劇者給出的回撥號碼是目標受害者的號碼,因此受害者隨後會收到許多呼叫,辦公室裡有多少人,就會接到多少次。

以下是 Smurf 攻擊的運作方式:

  1. 首先,Smurf 惡意軟體構建一個詐騙封包,該封包的來源位址設定為目標受害者的真實 IP 位址
  2. 然後,封包會傳送至路由器或防火牆的 IP 廣播位址,然後路由器或防火牆將要求傳送至廣播網路內的每個主機裝置位址,因此網路上有多少個聯網裝置,就會增加多少個請求。
  3. 網路內的每個裝置都會收到來自廣播裝置的要求,然後使用 ICMP 回應回覆封包回應目標的偽造位址。
  4. 然後,目標受害者會收到大量的 ICMP 回應回覆封包,可能會變得不堪重負,並導致對合法流量的阻斷服務。

如何緩解 Smurf 攻擊?

多年來,已經針對這種攻擊媒介開發了幾種防護策略,在很大程度上,這種漏洞利用被視為已得到解決。在數量有限的舊有系統上,可能仍需要套用防護技術。一個簡單的解決方案是在每個網路路由器和防火牆上停用 IP 廣播地址。較舊的路由器可能會預設啟用廣播,而較新的路由器可能已將其停用。在發生 Smurf 攻擊的情況下,Cloudflare 透過阻止 ICMP 封包到達目標原始伺服器來消除攻擊流量。詳細瞭解 Cloudflare DDoS 防護的工作原理。