熱點推薦:
您现在的位置: 電腦知識網 >> 網絡技術 >> 正文

面對“Smurf攻擊”,應該如何抵御?

2013-09-12 17:25:45  來源: 網絡技術 
Smurf是用別人的賬號安裝到一個計算機上的,它會用一個偽造的源地址連續ping一個或多個計算機網絡,這就導致所有計算機所響應的計算機並不是實際發送這個信息包的計算機。而這個偽造的源地址實際上就是攻擊的目標,它將被數量極多的響應信息所淹沒。對這個偽造信息包做出響應的計算機就成為這次攻擊的不知情的同謀。下面就針對Smurf DDoS攻擊的基本特性介紹一些抵御策略:
1.Smurf為了能工作,必須要找到攻擊平台。如果路由器上啟動了IP廣播功能,那麼這個功能就允許Smurf發送一個偽造的ping信息包,然後將它傳播到整個計算機網絡中。因此建議將所有路由器上IP的廣播功能都禁止。
2.攻擊者也有可能從LAN內部發動一個Smurf攻擊。在這種情況下,禁止路由器上的IP廣播功能就沒有用了。為了避免這種攻擊,許多操作系統都提供了相應設置,防止計算機對IP廣播請求做出響應。
3.如果攻擊者要成功地利用你成為攻擊平台,你的路由器必須要允許信息包以不是從你所在內網中產生的源地址離開網絡。因此要配置路由器,讓它將不是由你的內網中生成的信息包過濾出去,這也就是所謂的網絡出口過濾器功能。
4.ISP則應使用網絡入口過濾器,以丟掉那些不是來自一個已知范圍內IP地址的信息包。
5.對邊界路由器的回音應答(echo reply)信息包進行過濾,這樣就能阻止其“命中”Web服務器和內網。tW.WinGwiT.cOM對於使用Cisco路由器的用戶,可以選擇CAR (Committed Access Rate,承諾訪問速率)。
如果自己成為了攻擊的目標,那麼就要請求ISP對回音應答信息包進行過濾並丟棄。如果不想完全禁止回音應答,那麼可以有選擇地丟棄那些指向自己的公用Web服務器的回音應答信息包。
 
From:http://tw.wingwit.com/Article/Network/201309/3793.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.