骇客攻击:跳板攻击与防御(2)

核心提示： 当然做为一个正常的操作者是不会这么做的，但是当黑客要利用这个原理进行Smurf攻击的时候，骇客攻击:跳板攻击与防御(2)(6)，他会代替受害者来做这件事，图四 Smurf攻击原理 如图四，如果突然出现流量剧增的情况，限制一下到达DNS服务器的查询请求，黑客向广播地址发送请求包，所有的计算机

当然做为一个正常的操作者是不会这么做的，但是当黑客要利用这个原理进行Smurf攻击的时候，他会代替受害者来做这件事。

图四 Smurf攻击原理

如图四，黑客向广播地址发送请求包，所有的计算机得到请求后，却不会把回应发到黑客那里，而是被攻击的计算机处。这是因为黑客冒充了被攻击主机。黑客发包所用的软件是可以伪造源地址的，接到伪造数据包的主机会根据源地址把回应发出去，这当然就是被攻击目标的地址。黑客同时还会把发包的间隔减到几毫秒，这样在单位时间能发出数以千计的请求，使受害者接到被欺骗计算机那里传来的洪水般的回应。象遭到其他类型的拒绝服务攻击一样，被攻击主机会网络和系统无法响应，严重时还会导致系统崩溃。

黑客借助了网络中所有计算机来攻击受害者，而不需要事先去占领这些被欺骗的主机。

在实际使用中，黑客不会笨到在本地局域网中干这件事的，那样很容易被查出。他们会从远程发送广播包到目标计算机所在的网络来进行攻击。

防御方法

局域网中是不必进行Smurf攻击的防御的。我们只需在路由器上进行设置，在收到定向广播数据包时将其丢弃就可以了，这样本地广播地址收不到请求包，Smurf攻击就无从谈起。注意还要把网络中有条件成为路由器的多宿主主机（多块网卡）进行系统设置，让它们不接收和转发这样的广播包。

3.2 DrDoS（反射式分布拒绝服务攻击）

原理介绍

这是DDoS攻击的变形，它与DDoS的不同之处就是DrDoS不需要在实际攻击之前占领大量的傀儡机。这种攻击也是在伪造数据包源地址的情况下进行的，从这一点上说与Smurf攻击一样，而DrDoS是可以在广域网上进行的。其名称中的"r"意为反射，就是这种攻击行为最大的特点。黑客同样利用特殊的发包工具，首先把伪造了源地址的SYN连接请求包发送到那些被欺骗的计算机上，根据TCP三次握手的规则，这些计算机会向源IP发出SYN+ACK或RST包来响应这个请求。同Smurf攻击一样，黑客所发送的请求包的源IP地址是被害者的地址，这样受欺骗的计算机就都会把回应发到受害者处，造成该主机忙于处理这些回应而被拒绝服务攻击。

具体的情况可以参考Smurf攻击的原理结构图四。

防御方法

同DDoS的防御，请参考《DDoS攻击原理及防范》

3.3 DNS分布拒绝服务攻击

原理介绍

DNS拒绝服务攻击原理同DrDoS攻击相同，只是在这里被欺骗利用的不是一般的计算机，而是DNS服务器。黑客通过向多个DNS服务器发送大量的伪造的查询请求，查询请求数据包中的源IP地址为被攻击主机的IP地址，DNS服务器将大量的查询结果发送给被攻击主机，使被攻击主机所在的网络拥塞或不再对外提供服务。

防御方法

通过限制查询主机的IP地址可以减轻这种攻击的影响，比较糟糕的是在现实环境中这么做的DNS服务器很少。目前不能从根本上解决这个问题。另外可以从自己的网络设备上监视和限制对DNS查询请求的回应，如果突然出现流量剧增的情况，限制一下到达DNS服务器的查询请求，这样可以避免自己管理的服务器被欺骗而去攻击无辜者。