再写SMURF防御
近日来,美国各大网站普遍受到黑客攻击,导致网站中断服务数小时,直接经济损失超过十亿美圆。当前所做的技术调查显示,攻击多数属于拒绝服务攻击DoS类,已有若干文章推测研究其攻击原理和工具。联想到网管近来受到的多起SMURF拒绝服务网络攻击的投诉,想通过本文给各位同行提个醒!
网络安全工作的意义不仅仅在于保护自己的网络不受入侵者的侵犯,自己的数据不会丢失、被篡改等,同时还必须保护自己的网络不会被攻击者利用来攻击另外的第三方受害者的网络。在这种情况下,从法理上来说,即使是在不清楚的情况下被别人利用来攻击其他网站而导致经济损失,中间网络应该负有“失察”之责。应该可以追究经济补偿,直至刑事责任。虽然当前尚无这样的法律条文,但是从道理上面这是显而易见的。所以,网络安全是所有联入因特网的计算机管理员的普遍的责任!
这种间接、借力攻击方式在SMURF攻击中最为明显。国内163/169网的某些网段就多次受到国外网络的投诉,对方认为163/169中的某些网段存在安全漏洞,被人利用来攻击其客户,后果是出口带宽被浪费、网络信誉受到影响,更严重的情况下,会导致对方进行网络地址过滤,从而影响到网络可用性,造成更大的经济损失!
SMURF攻击出现已经有很长一段时间了,为了大家阅读方便,这里就同大家一起对SMURF攻击的原理简单回顾一下。攻击行为的完成涉及三个元素:攻击者、中间脆弱网络、目标受害者。攻击者伪造源地址为目标受害者地址的ICMP \"ECHO REQUEST\"数据包,将其发送到中间脆弱网段的广播地址(一般使用PING包),这样大量同时返回的\"ECHO REPLY\"响应数据包会对目标网络造成拥塞、丢包、甚至完全不可用等DoS拒绝服务攻击。另外,中间网络的性能也会遭受严重影响。该攻击的详细描述可以参见CERT公告CA-98.01
(http://www.cert.org/advisories/CA-98.01.smurf.html)。
由于协议中的缺省配置为打开,所以相当部分网络设备(主要是路由器)没有关闭转发IP广播包功能,导致整个网络作为中间脆弱网络被人利用攻击其他网络,进而导致投诉。
为此,网络管理员应该关闭广播包的转发设置。以CISCO路由器为例,具体方法包括:
1 在每个端口应用no ip directed-broadcast
2 在可能的情况下,使用访问控制列表,过滤掉所有目标地址为本网络广播地址的包;对于不提供穿透服务的网络,可以在出口路由器上过滤掉所有源地址不是本网地址的数据包。
发布人:netbull 来自:网络安全热线