smurf攻击是怎么一回事

DoS具有代表性的攻击手段包括PingofDeathdos攻击快闪族、TearDrop、UDPflood、SYNflood、LandAttack、IPSpoofingDoS等。具体DoS攻击方法很多，但大多都可以分为以下几类：利用软件实现的缺陷OOB攻击(常用工具winnuke)，teardrop攻击(常用工具teardropcboinkcbonkc)，lan软件主流程图d攻击，IGMP碎片包攻击，jolt攻击，Cisco2600路由器IOSversion120(10)远程拒绝服务攻击等等，这些攻击都是利用了被攻击软件的实现上的缺陷完成DoS攻击的。通常这些攻击工具向被攻击系统发送特定类型的一个或多个报文，这些攻击通常都是致命的，一般都是一击致死，而且很多攻击是可以伪造源地址的，所以即使通过IDS或者别的sniffer软件记录到攻击报文也不能找到谁发动的攻击，而且此类型的攻击多是特定类型的几个报文，非常短暂的少量的报文，如果伪造源IP地址的话，使追查工作几乎是不可能。那么如何造成这些攻击的通常是软件开发过程中对某种特定类型的报文、或请求没有处理，导致软件遇到这种类型的报文运行出现异常，导致软件崩溃甚至系统崩溃。下面结合几个具体实例解释一下这种攻击的成因。1997年5月7号有人发布了一个winnukec。首先建立一条到Win95/NT主机的TCP连接，然后发送TCP紧急数据，导致对端系统崩溃。139/TCP是Win95/NT系统最常见的侦听端口，所以winnukec使用了该端口。之所以称呼这种攻击为OOB攻击，因为MSG_OOB标志，实际应该是TCP紧急数据攻击。原始teardropc只构造了两种碎片包，每次同时发送这两种UDP碎片包。如果指定发送次数，将完全重复先前所发送出去的两种碎片包。它可以伪造源ip并跨越路由器进行远程攻击，影响的系统包括Linux/WinNT/Win95。使用的方法是：teardrop源ip目的ip[-s源端口][-d目的端口][-n次数]比较新的一个DoS攻击是Windows的SMB实现中的DoS攻击，2002年8月发布，只要允许匿名连接的windows系统就可以进行远程攻击，强烈建议Windows用户打相应的补丁。它的方法就是先和目标系统建立一个连接，然后发送一个特定的请求，目标系统就会兰屏。发布的测试工具SMBdieexe是图形界面工具，输入目标地址NETBIOS名称即可。从上面的讨论可以看出，这种攻击行为威力很大，而且难于侦察。但真实情况下它的危害仅现于漏洞发布后的不长的时间段内，相关厂商会很快发布补丁修补这种漏洞。所以上面提到的几种较老的攻击在现实的环境中，通常是无效的。不过最新的攻击方法还是让我们不寒而栗，我们可以做的就是关注安全漏洞的发布，及时打上新的补丁。如果你想偷懒的话，购买专业安全服务公司的相关服务应该是个更好的选择。利用协议的漏洞如果说上面那种漏洞危害的时间不是很长，那么这种攻击的生存能力却非常强。为了能够在网络上进行互通、互联，所有的软件实现都必须遵循既有的协议，而如果这种协议存在漏洞的话，所有遵循此协议的软件都会受到影响。最经典的攻击是synflood攻击，它利用TCP/IP协议的漏洞完成攻击。通常一次TCP连接的建立包括3个步骤，客户端发送SYN包给服务器端，服务器分配一定的资源给这里连接并返回SYN/ACK包，并等待连接建立的最后的ACK包，最后客户端发送ACK报文，这样两者之间的连接建立起来，并可以通过连接传送数据了。而攻击的过程就是疯狂发送SYN报文，而不返回ACK报文，服务器占用过多资源，而导致系统资源占用过多，没有能力响应别的 *** 作，或者不能响应正常的网络请求。这个攻击是经典的以小搏大的攻击，自己使用少量资源占用对方大量资源。一台P4的Linux系统大约能发到30-40M的64字节的synflood报文，而一台普通的服务器20M的流量就基本没有任何响应了(包括鼠标、键盘)。而且synflood不仅可以远程进行，而且可以伪造源IP地址，给追查造成很大困难，要查找必须所有骨干网络运营商，一级一级路由器的向上查找。对于伪造源IP的synflood攻击，除非攻击者和被攻击的系统之间所有的路由器的管理者都配合查找，否则很难追查。当前一些防火墙产品声称有抗DoS的能力，但通常他们能力有限，包括国外的硬件防火墙大多100M防火墙的抗synflood的能力只有20-30Mbps(64字节syn包)，这里涉及到它们对小报文的转发能力，再大的流量甚至能把防火墙打死机。有些安全厂商认识到DoS攻击的危害，开始研发专用的抗拒绝服务产品。由于TCP/IP协议相信报文的源地址，另一种攻击方式是反射拒绝服务攻击，另外可以利用还有广播地址，和组播协议辅助反射拒绝服务攻击效果更好。不过大多数路由器都禁止广播地址和组播协议的地址。另一类攻击方式是使用大量符合协议的正常服务请求，由于每个请求耗费很大系统资源，导致正常服务请求不能成功。如>

需安装ARP防火墙，360上带有一个，但感觉不如瑞星防火墙的ARP防范攻击强。你可以断线后杀完毒再安装瑞星防火墙。

相关资料如下：

一、ARP协议工作原理

在TCP/IP协议中，每一个网络结点是用IP地址标识的，IP地址是一个逻辑地址。而在以太网中数据包是靠48位MAC地址（物理地址）寻址的。因此，必须建立IP地址与MAC地址之间的对应（映射）关系，ARP协议就是为完成这个工作而设计的。

TCP/IP协议栈维护着一个ARP cache表，在构造网络数据包时，首先从ARP表中找目标IP对应的MAC地址，如果找不到，就发一个ARP request广播包，请求具有该IP地址的主机报告它的MAC地址，当收到目标IP所有者的ARP reply后，更新ARP cacheARP cache有老化机制。

二、ARP协议的缺陷

ARP协议是建立在信任局域网内所有结点的基础上的，它很高效，但却不安全。它是无状态的协议，不会检查自己是否发过请求包，也不管（其实也不知道）是否是合法的应答，只要收到目标MAC是自己的ARP reply包或arp广播包（包括ARP request和ARP reply），都会接受并缓存。这就为ARP欺骗提供了可能，恶意节点可以发布虚假的ARP报文从而影响网内结点的通信，甚至可以做“中间人”。

三、常见ARP欺骗形式

1、假冒ARP reply包（单播）

XXX，I have IP YYY and my MAC is ZZZ！

2、假冒ARP reply包（广播）

Hello everyone！ I have IP YYY and my MAC is ZZZ！

向所有人散布虚假的IP/MAC

3、假冒ARP request（广播）

I have IP XXX and my MAC is YYY

Who has IP ZZZ？ tell me please！

表面为找IP ZZZ的MAC，实际是广播虚假的IP、MAC映射（XXX，YYY）

4、假冒ARP request（单播）

已知IP ZZZ的MAC

Hello IP ZZZ！ I have IP XXX and my MAC is YYY

5、假冒中间人

欺骗主机（MAC为MMM）上启用包转发

向主机AAA发假冒ARP Reply：

AAA，I have IP BBB and my MAC is MMM，

向主机BBB发假冒ARP Reply：

BBB，I have IP AAA and my MAC is MMM

由于ARP Cache的老化机制，有时还需要做周期性连续欺骗。

四、ARP欺骗的防范

1、运营商可采用Super VLAN或PVLAN技术

所谓Super VLAN也叫VLAN聚合，这种技术在同一个子网中化出多个Sub VLAN，而将整个IP子网指定为一个VLAN聚合（Super VLAN），所有的Sub VLAN都使用Super VLAN的默认网关IP地址，不同的Sub VLAN仍保留各自独立的广播域。子网中的所有主机只能与自己的默认网关通信。如果将交换机或IP DSLAM设备的每个端口化为一个Sub VLAN，则实现了所有端口的隔离，也就避免了ARP欺骗。

PVLAN即私有VLAN（Private VLAN） ，PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口化为一个（下层）VLAN，则实现了所有端口的隔离。

PVLAN和SuperVLAN技术都可以实现端口隔离，但实现方式、出发点不同。PVLAN是为了节省VLAN，而SuperVlan的初衷是节省IP地址。

2、单位局域网可采用IP与MAC绑定

在PC上IP+MAC绑，网络设备上IP+MAC+端口绑。但不幸的是Win 98/me、未打arp补丁的win 2000/xp sp1（现在大多都已经打过了）等系统 使用arp -s所设置的静态ARP项还是会被ARP欺骗所改变。

如果网络设备上只做IP+MAC绑定，其实也是不安全的，假如同一二层下的某台机器发伪造的arp reply（源ip和源mac都填欲攻击的那台机子的）给网关，还是会造成网关把流量送到欺骗者所连的那个（物理）端口从而造成网络不通。

对于采用了大量傻瓜交换机的局域网，用户自己可以采取支持arp过滤的防火墙等方法。推荐Look ‘n’Stop防火墙，支持arp协议规则自定义。

最后就是使用ARPGuard啦（才拉到正题上），但它只是保护主机和网关间的通讯。

五、ARPGuard的原理

ARPGuard可以保护主机和网关的通讯不受ARP欺骗的影响。

1、第一次运行（或检测到网关IP改变）时获取网关对应的MAC地址，将网卡信息、网关IP、网关MAC等信息保存到配置文件中，其他时候直接使用配置文件。

2、移去原默认路由（当前网卡的）

3、产生一个随机IP，将它添加成默认网关。

4、默认网关IP 和网关的MAC绑定（使用DeleteIpNetEntry和CreateIpNetEntry修改ARP Cache表项）

5、周期性检测ARP Cache中原默认网关（不是随机IP那个） 网关的MAC在ARP Cache的值是否被改写，若被改写就报警。

6、针对有些攻击程序只给网关设备（如路由器或三层交换机）发欺骗包的情况。由于此时本机ARP Cache中网关MAC并未被改变，因此只有主动防护，即默认每秒发10个ARP reply包来维持网关设备的ARP Cache（可选）

7、程序结束时恢复默认网关和路由。

值得说明的是程序中限定了发包间隔不低于100ms，主要是怕过量的包对网络设备造成负担。如果你遭受的攻击太猛烈，你也可以去掉这个限制，设定一个更小的数值，保证你的通讯正常。

==============================================

ARP病毒病毒发作时候的特征为，中毒的机器会伪造某台电脑的MAC地址，如该伪造地址为网关服务器的地址，那么对整个网络均会造成影响，用户表现为上网经常瞬断。

例子中的IP地址均为假设，正确的IP请查询或加入群13770791

一、在任意客户机上进入命令提示符(或MS-DOS方式)，用arp –a命令查看：

C:WINNTsystem32>arp -a

Interface: 19216810093 on Interface 0x1000003

Internet Address Physical Address Type

1921681001 00-50-da-8a-62-2c dynamic

19216810023 00-11-2f-43-81-8b dynamic

19216810024 00-50-da-8a-62-2c dynamic

19216810025 00-05-5d-ff-a8-87 dynamic

192168100200 00-50-ba-fa-59-fe dynamic

可以看到有两个机器的MAC地址相同，那么实际检查结果为 00-50-da-8a-62-2c为192168024的MAC地址，1921681001的实际MAC地址为00-02-ba-0b- 04-32，我们可以判定19216810024实际上为有病毒的机器，它伪造了1921681001的MAC地址。

二、在19216810024上进入命令提示符(或MS-DOS方式)，用arp –a命令查看：

C:WINNTsystem32>arp -a

Interface: 19216810024 on Interface 0x1000003

Internet Address Physical Address Type

1921681001 00-02-ba-0b-04-32 dynamic

19216810023 00-11-2f-43-81-8b dynamic

19216810025 00-05-5d-ff-a8-87 dynamic

192168100193 00-11-2f-b2-9d-17 dynamic

192168100200 00-50-ba-fa-59-fe dynamic

可以看到带病毒的机器上显示的MAC地址是正确的，而且该机运行速度缓慢，应该为所有流量在二层通过该机进行转发而导致，该机重启后所有电脑都不能上网，只有等arp刷新MAC地址后才正常，一般在2、3分钟左右。

三、如果主机可以进入dos窗口，用arp –a命令可以看到类似下面的现象：

C:WINNTsystem32>arp -a

Interface: 1921681001 on Interface 0x1000004

Internet Address Physical Address Type

19216810023 00-50-da-8a-62-2c dynamic

19216810024 00-50-da-8a-62-2c dynamic

19216810025 00-50-da-8a-62-2c dynamic

192168100193 00-50-da-8a-62-2c dynamic

192168100200 00-50-da-8a-62-2c dynamic

该病毒不发作的时候，在代理服务器上看到的地址情况如下：

C:WINNTsystem32>arp -a

Interface: 1921681001 on Interface 0x1000004

Internet Address Physical Address Type

192168023 00-11-2f-43-81-8b dynamic

19216810024 00-50-da-8a-62-2c dynamic

19216810025 00-05-5d-ff-a8-87 dynamic

192168100193 00-11-2f-b2-9d-17 dynamic

192168100200 00-50-ba-fa-59-fe dynamic

病毒发作的时候，可以看到所有的ip地址的mac地址被修改为00-50-da-8a-62-2c，正常的时候可以看到MAC地址均不会相同。

解决办法：

一、采用客户机及网关服务器上进行静态ARP绑定的办法来解决。

1． 在所有的客户端机器上做网关服务器的ARP静态绑定。

首先在网关服务器（代理主机）的电脑上查看本机MAC地址

C:WINNTsystem32>ipconfig /all

Ethernet adapter 本地连接 2:

Connection-specific DNS Suffix :

Description : Intel(R) PRO/100B PCI Adapter (TX)

Physical Address : 00-02-ba-0b-04-32

Dhcp Enabled : No

IP Address : 1921681001

Subnet Mask : 2552552550

然后在客户机器的DOS命令下做ARP的静态绑定

C:WINNTsystem32>arp –s 1921681001 00-02-ba-0b-04-32

注：如有条件，建议在客户机上做所有其他客户机的IP和MAC地址绑定。

2． 在网关服务器（代理主机）的电脑上做客户机器的ARP静态绑定

首先在所有的客户端机器上查看IP和MAC地址，命令如上。

然后在代理主机上做所有客户端服务器的ARP静态绑定。如：

C:winntsystem32> arp –s 192168023 00-11-2f-43-81-8b

C:winntsystem32> arp –s 192168024 00-50-da-8a-62-2c

C:winntsystem32> arp –s 192168025 00-05-5d-ff-a8-87

。。。。。。。。。

3． 以上ARP的静态绑定最后做成一个windows自启动文件，让电脑一启动就执行以上 *** 作，保证配置不丢失。

二、有条件的网吧可以在交换机内进行IP地址与MAC地址绑定

三、IP和MAC进行绑定后，更换网卡需要重新绑定，因此建议在客户机安装杀毒软件来解决此类问题：发现的病毒是变速齿轮204B中带的，病毒程序在 >

以上就是关于smurf攻击是怎么一回事全部的内容，包括:smurf攻击是怎么一回事、防御Smurf攻击的方法有哪些、网络攻击的一般原理和方法是什么等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！