Smurf分布式攻击的几种防范方法

Smurf攻击为DoS攻击中较为常见的一种。它利用TCP/IP协议自身的缺陷，结合使用IP欺骗和ICMP回复方法，导致网络严重的拥塞或资源消耗，引起目标系统拒绝提供合法服务，从而对网络安全构成重大威胁。下面给出几种防范此类攻击的方法。

（1）阻塞Smurf攻击的源头

Smurf攻击依靠攻击者的力量使用欺骗性源地址发送echo请求。用户可以使用路由路的访问保证内部网络中发出的所有传输信息都具有合法的源地址，以防止这种攻击。这样可以使欺骗性分组无法找到反弹站点。

（2）阻塞Smurf的反弹站点

用户可以有两种选择以阻塞Smurf攻击的反弹站点。第一种方法可以简单地阻塞所有入站echo请求，这们可以防止这些分组到达自己的网络。如果不能阻塞所有入站echo请求，用户就需要让自己的路由器把网络广播地址映射成为LAN广播地址。制止了这个映射过程，自己的系统就不会再收到这些echo请求。

（3）阻止Smurf平台

为防止系统成为 smurf攻击的平台，要将所有路由器上IP的广播功能都禁止。一般来讲，IP广播功能并不需要。 如果攻击者要成功地利用你成为攻击平台，你的路由器必须要允许信息包以不是从你的内网中产生的源地址离开网络。配置路由器，让它将不是由你的内网中生成的信息包过滤出去，这是有可能做到的。这就是所谓的网络出口过滤器功能。

（4）防止Smurf攻击目标站点

除非用户的ISP愿意提供帮助，否则用户自己很难防止Smurf对自己的WAN接连线路造成的影响。虽然用户可以在自己的网络设备中阻塞这种传输，但对于防止Smurf吞噬所有的WAN带宽已经太晚了。但至少用户可以把Smurf的影响限制在外围设备上。通过使用动态分组过滤技术，或者使用防火墙，用户可以阻止这些分组进入自己的网络。防火墙的状态表很清楚这些攻击会话不是本地网络中发出的（状态表记录中没有最初的echo请求记录），因些它会象对待其它欺骗性攻击行为那样把这样信息丢弃。