发布网友 发布时间:2022-04-22 02:05
共1个回答
热心网友 时间:2022-07-13 00:39
一、拒绝成为攻击的帮凶
Smurf要利用一个网络作为“流量放大器”,该网络必定具备以下特征:
1、路由器允许有IP源地址欺骗的数据包通过 ;
2、路由器将定向广播(发送到广播地址的数据包)转换成为第二层(MAC层)的广播并向连接网段广播 ;
3、广播网络上的主机允许对ping广播作出回应 ;
4、路由器对主机回应的ping数据流量未做* ;
所以,可以根据以上四点来重新规划网络,以使自己的网络不具备会成为“流量放大器”的条件 。
二、受害者的策略
由Smurf攻击产生的攻击数据流量在经过了“放大器网络“放大之后,当到达最终攻击目标时,数据流量可能是非常巨大的。为了保护被攻击的系统免于崩溃,我们可以采取以下两种策略:
使用控制访问列表过滤数据
在最终攻击目标的网络边界路由器上使用访问控制列表,拒绝将ping攻击数据包发往被攻击的主机。但这是一个粗努的方法,因为当你在路由器上完全*了发往被攻击主机的ping数据包之后,其它希望正常通过的ping数据包也将无法通过。另外,在边界路由器上使用访问控制列表过滤ping数据之后,虽然可以保护路由器连接的内部网络免受攻击,但攻击的数据还是会大量涌入路由器,导致路由器接口的阻塞。
使用CAR*速率