fraggle攻击

一、拒绝服务简述

●拒绝服务

拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问。这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法。

攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。

●smurf和fraggle攻击

smurf和fraggle攻击是十分著名的拒绝服务攻击，它利用了路由器和主机系统的一些漏洞来实现攻击的，而且能够隐藏攻击者。

Fraggle攻击对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP，虽然标准的端口是7，但是大多数使用Fraggle攻击的程序允许你指定其它的端口。

所以，要了解Fraggle攻击首先要了解Smurf攻击。

●端口知识

大家都知道通信网络的上层应用程序都是通过端口号来识别传输层协议的，比如常用的HTTP协议就使用了80端口，用于邮件的SMTP协议使用的是25端口。比如某传输层报文的端口号标识位为“80”，那么计算机收到报文后一看端口号就知道该报文是给HTTP协议的，直接转交给它处理。同样的，TCP/UDP协议是IP的上层协议，IP可能会被系统中多个应用程序应用，如何来区分多个应用程序呢？答案是TCP/UDP端口号。

TCP和UDP的端口号的编号都是独立的，都是0~65535。例如DNS，可以是TCP的53号端口，也可以是UDP的53号端口。端口号只具有本地意义，是拿来标识程序的。只有0~1023苏州水网

是公认的系统占用，其他在通信过程中是随机生成，此次传输完成即撤消。在UDP的这些端口中，有两个很特殊的端口7和19。UDP的7号端口收到报文后，会象 ICMP Echo Reply一样回应收到的内容，而19号端口在收到报文后，会产生一串字符流。

二、Smurf攻击

Smurf攻击是以最初发动这种攻击的程序名“Smurf”来命名的。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。

●攻击原理

岛屿最多的国家

一个简单的Smurf攻击原理就是：通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行。最终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞。它比ping of death洪水的流量高出1或2个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。

●攻击过程

Smurf攻击是这种攻击的早期形式，是一种在局域网中的攻击手段。它的作用原理是基于广播地址与回应请求的。一台计算机向另一台计算机发送一些特殊的数据包如ping请求时，会接到它的回应；如果向本网络的广播地址发送请求包，实际上会到达网络上所有的计算机，这时就会得到所有计算机的回应。这些回应是需要被接收的计算机处理的，每处理一个就要占用一份系统资源，如果同时接到网络上所有计算机的回应，接收方的系统是有可能吃不消的，就象遭到了DDoS攻击一样。大家会疑问，谁会无聊得去向网络地址发包而招来所有计算机的攻击呢？

当然做为一个正常的操作者是不会这么做的，但是当黑客要利用这个原理进行Smurf攻击的时候，他会代替受害者来做这件事。

攻击的过程是这样的：Woodlly Attacker向一个具有大量主机和因特网连接的网络的广播地址发送一个欺骗性Ping分组（echo 请求），这个目标网络被称为反弹站点，而欺骗性Ping分组的源地址就是Woolly希望攻击的系统。

64位微处理器

这种攻击的前提是，路由器接收到这个发送给IP广播地址（如206.121.73.255）的分组后，会认为这就是广播分组，并且把以太网广播地址FF:FF:FF:FF:FF:FF:映射过来。这样路由器人因特网上接收到该分组，会对本地网段中的所有主机进行广播。

李福菊　读者肯定能够想到下面会发生什么情况。网段中的所有主机都会向欺骗性分组的IP地址发送echo响应信息。如果这是一个很大的以太网段，可以会有500个以上的主机对收到的echo请求进行回复。

由于多数系统都会尽快地处理ICMP传输信息，Woodlly Attacker把分组的源地址设置为目标系统，因此目标系统都很快就会被大量的echo信息吞没，这样轻而易举地就能够阻止该系统处理其它任何网络传输，从而引起拒绝为正常系统服务。

这种攻击不仅影响目标系统，还影响目标公司的因特网连接。如果反弹站点具有T3连接（45Mbps），而目标系统所在的公司使用的是租用线路（56Kbps），则所有进出该公司的通讯都会停止下来。

●黑客攻击

Smurf攻击并不十分可怕；它仅仅是利用IP路由漏洞的攻击方法。攻击通常分为以下五步：

1>黑客锁定一个被攻击的主机（通常是一些Web服务器）；

2>黑客寻可做为中间代理的站点，用来对攻击实施放大（通常会选择多个，以便更好地隐藏自己，伪装攻击）；

3>黑客给中间代理站点的广播地址发送大量的ICMP包（主要是指Ping命令的回应包）。这些数据包全都以被攻击的主机的IP地址做为IP包的源地址；

4>中间代理向其所在的子网上的所有主机发送源IP地址欺骗的数据包；

5>中间代理主机对被攻击的网络进行响应。

黑客向广播地址发送请求包，所有的计算机得到请求后，却不会把回应发到黑客那里，而是被攻击的计算机处。这是因为黑客冒充了被攻击主机。黑客发包所用的软件是可以伪造源地址的，接到伪造数据包的主机会根据源地址把回应发出去，这当然就是被攻击目标

的地址。黑客同时还会把发包的间隔减到几毫秒，这样在单位时间能发出数以千计的请求，使受害者接到被欺骗计算机那里传来的洪水般的回应。象遭到其他类型的拒绝服务攻击一样，被攻击主机会网络和系统无法响应，严重时还会导致系统崩溃。

黑客借助了网络中所有计算机来攻击受害者，而不需要事先去占领这些被欺骗的主机。

在实际使用中，黑客不会笨到在本地局域网中干这件事的，那样很容易被查出。他们会从远程发送广播包到目标计算机所在的网络来进行攻击。　

●防范措施：

首先，千万不能让你的网络里的人发起这样的攻击。在Smurf攻击中，有大量的源欺骗的IP数据包离开了第一个网络。

通过在路由器上使用输出过滤，你就可以滤掉这样的包，从而阻止从你的网络中发起的Smurf攻击。

在路由器上增加这类过滤规则的命令是：

Access-list 100 permit IP {你的网络号} {你的网络子网掩码} any

Access-list 100 deny IP any any

在你局域网的边界路由器上使用这一访问列表的过滤规则，就可以阻止你的网络上的任何人向局域网外发送这种源欺骗的IP数据包。

其次，停止你的网络做为中间代理。如果没有必须要向外发送广播数据包的情况，就可以在路由器的每个接口上设置禁止直接广播，命令如下：

no ip directed-broadcast

还有，如果你的网络比较大，具有多个路由器，那么可以在边界路由器上使用以下命令：

ip verify unicast reverse-path

让路由器对具有相反路径的ICMP欺骗数据包进行校验，丢弃那些没有路径存在的包。最好是运行Cisco快速转发（Cisco Express Forwarding ，CEF），或者其它相应的软件。这是因为在路由器的CEF表中，列出了该数据包所到达网络接口的所有路由项，如果没有该

数据包源IP地址的路由，路由器将丢弃该数据包。例如，路由器接收到一个源IP地址为1.2.3.4的数据包，如果CEF路由表中没有为IP地址1.2.3.4提供任何路由（即反向数据包传输时所需的路由），则路由器会丢弃它。

●查黑客

对发起Smurf攻击的机器的定位非常困难，但并不是不可能的。不过在你开始查之前，应该考虑是否使用法律这一重要武器。

为了跟踪这类拒绝服务攻击的真正源头，可以采取以下几步：

确定中间代理的IP地址空间，并与他们的网络管理员取得联系。记住你看到的这些包是从中间代理那儿来的，并不是从真正黑客处来的。那些以被攻击的主机的IP地址为源IP地址的进入该网络的数据包，就是黑客使用的源地址欺骗数据包。

从这些数据包上取得源IP地址欺骗的物理地址，并用这些物理地址做一下ip arp（适用于Cisco IOS），得到的结果就是源IP地址欺骗来的最后一跳节点的IP地址。与他们的管理员取得联系。

重复以上几步，直到你到与跟踪的物理地址相同的路由器。

●小节

通过过滤输出数据流，可以使你的网络免受Smurf这类攻击；通过适当地限制广播流量，就可以防止你的网络被利用成为中间代理。如果你遭到攻击，我已经给你提供了一些把灾难降低到最小的手段，还介绍了如何跟踪敌人的方法。Smurf攻击是具有破坏性的，但是合理正确的准备就可以最大限度地降攻击传播的性能和影响力。

三、Fraggle攻击

●攻击原理

前面已经提到，Fraggle攻击实际上就是对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP。因为发送的是 UDP 报文，Fraggle 攻击可以穿过一些阻止 ICMP 报文进入的防火墙。

Fraggle攻击的原理是攻击者A向广播地址发送UDP报文，目的端口号为 7(ECHO)或19(Ch

西安事变新探argen)，报文的源IP地址伪装成受害者B的IP地址。这样，广播域中所有启用了此功能的计算机都会向受害者B发送回应报文，从而产生大量的流量，导致受害网络的阻塞或受害主机崩溃。如果广播域中的主机没有启动这些功能，这些主机将产生一个 ICMP 不可达消息发给B，仍然消耗带宽。Fraggle攻击时，也可将源端口改为端口19(Chargen)，目的端口为 7(ECHO)，这样会自动不停地产生回应报文，其危害性更大。

●防御方法

关闭路由器或防火墙的广播地址特性，并在防火墙上过滤掉 UDP 报文，阻止所有目的端口或源端口号为7或19的UDP报文通过。

本文发布于:2024-09-20 21:16:06，感谢您对本站的认可！

本文链接：https://www.17tex.com/xueshu/357263.html

上一篇：幼儿攻击性行为的矫治和预防

下一篇：eve四级任务单刷攻略