什么是 Smurf DDoS 攻击？

是的，Smurf 攻击听起来很可爱而且无害，但我们可以向你保证事实并非如此。相反，这是又一次 DDoS 攻击，旨在损害企业并扰乱其工作流程。

Smurf 攻击定义

Smurf 这个名字来自一部流行的比利时同名漫画。里面有很多蓝色的小人物齐心协力打倒一个大坏蛋魔术师。

Smurf DDoS 攻击是一种基于协议的 DDoS 攻击，它利用流行的互联网控制消息协议 (ICMP)发送带有伪造源 IP 地址的 ping 数据包，这得益于恶意软件。

数据包使用 IP 广播地址发送到计算机网络。该网络上的设备将响应并向 IP 地址发送答案。事实上，不仅一台计算机，而且整个计算机网络都会响应受害者的 IP 地址，这会导致流量大幅放大，并可能向受害者发送大量流量。流量如此之大，以至于可能会严重减慢受害者的计算机速度，甚至使其暂时瘫痪。

你知道，停机意味着业务损失。

Smurf 攻击如何运作？

1. 恶意的 Smurf 软件会伪造数据包的 IP 地址，并将其替换为受害者的 IP 地址。这样，所有流量都会流向它。
2. 数据包被发送到路由器的广播 IP 地址。这样，路由器就会将消息发送到此广播网络内的所有连接设备，攻击将被放大很多倍。有多少设备响应，攻击就会放大多少倍。
3. 每个设备都会收到数据包。它们会向伪造的 IP 地址（目标的 IP 地址）做出响应。因此，流量将直接流向受害者。
4. 目标开始收到它不想要的数据包。一个接一个，如果数据包太多，目标就会开始无法处理它们。最终，如果强度不降低，目标将无法处理这些 ping 并被压垮。

Smurf 攻击的历史有怎样？

Dan Moschuk（又名TFreak ）于 1997 年编写了该恶意软件的原始代码。当时 Dan 还是个青少年。他将原始软件发送给了他的几个朋友，后来 smurf.c 导致多个 IRC 服务器崩溃。

由于 Smurf 攻击，网络设备生产商开始改变其设备的设置，将广播限制在 LAN 内部。

几年后，TFreak 继续从事恶意软件工作，并创建了 Smurf 攻击的 UDP 版本，并将其命名为 Fraggle.c。

DDoS Smurf 攻击的类型？

Smurf 攻击主要有两种类型：

基本 Smurf 攻击

正如我们向您解释的那样，Basic Smurf 攻击的工作原理是向网络发送大量欺骗受害者 IP 地址的 ping 数据包。然后，网络上的所有设备都会应答数据包并将答案发送给目标，从而产生大量流量，随着时间的推移，可能会导致系统崩溃。

推荐文章：什么是洪水攻击？

高级 Smurf 攻击

它看起来与基本 Smurf 攻击类似，但有一点不同。高级 Smurf 攻击可以伪造数据包的 IP 地址，从而将响应发送给多个目标。当攻击者感染了足够多的网络时，他们可以利用这种放大的流量对多个受害者造成更大的破坏。

你如何发现它？

检测 Smurf 攻击可能是一项艰巨的任务。ICMP监控是捕获此攻击的关键工具。ICMP 是一种 Internet控制消息协议，如果检测到攻击，它会发出警报。这种类型的监控可以实时分析任何可疑活动，从而更快地检测和减轻 Smurf 攻击造成的任何损害。要设置 ICMP 监控，必须根据网络的典型性能设置阈值。一旦检测到超过阈值的流量峰值，您的 IT 团队就可以采取相应措施。ICMP 监控提供了一种高效且有效的方法来及时检测 Smurf 攻击。

如何缓解 Smurf DDoS 攻击？

有 3 件事你可以做来缓解 Smurf 攻击：

使用 DDoS 保护

拥有庞大的服务器网络意味着您的服务器可以抵御更强的流量。当您将其与可以发现恶意流量的智能流量监视器和清洗中心网络相结合时，您将获得针对此类DDoS 攻击的出色保护。

如果您想尝试一下，可以在此处查看我们的DDoS 保护计划。保持安全并保持业务正常运行，将停机时间降至最低。

禁止 ICMP 流量

您可以使用防火墙并完全阻止 ICMP 流量。这样就不可能遭受 Smurf 攻击或任何其他基于 ICMP 的 DDoS 攻击。问题是您将无法使用 ping 命令进行诊断。对于需要检查网络或远程服务器上的所有设备是否已连接并正常工作的管理员来说，这可能会带来麻烦，因此对于大多数人来说，这可能不是一个选择。

停止具有广播 IP 地址的数据包

您还可以设置所有主机和路由设备以忽略具有广播 IP 地址的数据包。这样，即使经过修改的 Smurf 攻击数据包进入您的网络，也不会被允许。如果您不需要广播任何其他消息，这可能是一个选择。不过，这会限制您的配置，您可能需要此功能。

Smurf 攻击传播方式

Smurf 攻击可以从特洛伊木马或恶意软件开始。它可以由网络上的某人下载并执行，也可以以应用程序的形式出现。重要的是要教育您的员工有关可能导致此类问题的网络钓鱼攻击的危险。

smurf 会在受感染的主机上隐藏很长时间，直到攻击需要它。然后他或她会激活它，并开始生成带有欺骗 IP 地址的 ICMP 数据包。它们将针对受害者，然后 DDoS 攻击将开始。

Smurf DDoS 攻击的影响

成功实施的 Smurf DDoS 攻击可能会造成严重且深远的损害。因此，了解潜在后果非常重要。

• 服务中断： DDoS 攻击（包括 Smurf 攻击）的主要目的是破坏服务的可用性。通过向受害者的网络注入大量流量，合法用户无法访问基本服务，从而导致停机和潜在的收入损失。
• 资源耗尽： Smurf 攻击会破坏网络基础设施，包括路由器、交换机和服务器，导致资源耗尽。因此，受害者可能会遇到性能下降甚至系统完全瘫痪的情况。
• 声誉受损：长期 DDoS 攻击会损害组织的声誉，破坏客户和合作伙伴之间的信任。不可靠和不安全的印象可能会对受害者的品牌产生长期影响。
• 财务损失： Smurf DDoS 攻击的财务影响可能非常严重。这不仅包括缓解攻击的直接成本，还包括因生产力下降和客户信任度丧失而产生的长期损失。

什么是 Fraggle 攻击？它与 Smurf 攻击有何不同？

Fraggle 攻击与 Smurf 攻击非常相似，因为它们都是分布式拒绝服务 (DDoS) 攻击，会发送大量带有伪造源 IP 地址的回应请求。然而，主要区别在于 Fraggle 攻击涉及通过端口 7 和 19 发送用户数据报协议 (UDP)广播数据包，而不是 Smurf 攻击中使用的通常 ICMP 数据包。换句话说，虽然 Smurf 攻击专注于用 ICMP 回应请求淹没受害者的网络，但 Fraggle 攻击会将攻击流量分散到目标系统的更大区域。

Smurf 和 Fraggle 攻击的目的是相同的 — 向服务器或网络发送大量数据，使其迅速超载并导致其崩溃或无法使用。但是，Fraggle 攻击的优势在于可以避免被传统防火墙配置检测到，因为大多数防火墙通常允许 UDP 广播数据包。还要注意的是，Fraggle 攻击可以与 Smurf 攻击结合使用，以产生更大的影响。与 Smurf 攻击结合使用，以产生更大的影响。

结论

在网上保持安全越来越难。但您和您的企业仍然可以受到保护。通过了解 Smurf 攻击和其他 DDoS 攻击等威胁，您可以了解如何保持安全。使用DDoS攻击保护服务，不要让坏人对您的服务器的工作产生负面影响。