1.Smurf為了能工作,必須要找到攻擊平台。如果路由器上啟動了IP廣播功能,那麼這個功能就允許Smurf發送一個偽造的ping信息包,然後將它傳播到整個計算機網絡中。因此建議將所有路由器上IP的廣播功能都禁止。
2.攻擊者也有可能從LAN內部發動一個Smurf攻擊。在這種情況下,禁止路由器上的IP廣播功能就沒有用了。為了避免這種攻擊,許多操作系統都提供了相應設置,防止計算機對IP廣播請求做出響應。
3.如果攻擊者要成功地利用你成為攻擊平台,你的路由器必須要允許信息包以不是從你所在內網中產生的源地址離開網絡。因此要配置路由器,讓它將不是由你的內網中生成的信息包過濾出去,這也就是所謂的網絡出口過濾器功能。
4.ISP則應使用網絡入口過濾器,以丟掉那些不是來自一個已知范圍內IP地址的信息包。
5.對邊界路由器的回音應答(echo reply)信息包進行過濾,這樣就能阻止其“命中”Web服務器和內網。Tw.wINgWiT.coM對於使用Cisco路由器的用戶,可以選擇CAR (Committed Access Rate,承諾訪問速率)。
如果自己成為了攻擊的目標,那麼就要請求ISP對回音應答信息包進行過濾並丟棄。如果不想完全禁止回音應答,那麼可以有選擇地丟棄那些指向自己的公用Web服務器的回音應答信息包。
From:http://tw.wingwit.com/Article/Network/201309/3793.html