跳板攻擊與防禦

[psac]

　黑客在進行攻擊時會借用其他系統來達到自己的目的，如對下一目標的攻擊和被侵佔電腦本身的利用等等。本文介紹了一般的黑客對被侵佔電腦的使用方式和安全管理員相應的應對方法。
　　黑客進行網路攻擊時，除了自己手中直接操作的電腦外，往往在攻擊進行時和完成之後利用、控制其他的電腦。他們或者是借此達到攻擊的目的，或者是把這些電腦派做其他的用途。本文匯總描述了黑客各種利用其他電腦的手段，希望網路與系統管理員能通過瞭解這些攻擊辦法來達到更好地進行安全防範的目的。

　　一、對「肉雞」的利用

　　「肉雞」這個詞被黑客專門用來描述Internet上那些防護性差，易於被攻破而且控制的電腦。

　　1.1、本身資料被獲取

　　原理介紹

　　這是一台電腦被攻破並完全控制之後，黑客要做的第一件事。很多黑客宣稱自己是非惡意的，只是對電腦安全感興趣，在進入別人的電腦時，不會進行破壞、刪除、篡改等操作。甚至還有更"好心"一些的黑客會為這些電腦打修正檔，做一些安全加強。

　　但是他們都迴避了一個問題，那就是對這些電腦上本身儲存的資料如何處理。確實，對別人的電腦進行破壞這種損人不利已的事情對這大多數黑客來講沒有太大意思，不過他們都不會反對把「肉雞」上的資料弄回來儲存。這時黑客再說"沒有進行破壞"是說不過去的，根據電腦安全的基本原則，當資料的"完整性、可用性和機密性"中任意三者之一在受到破壞的時候，都應視為安全受到了破壞。在被佔領的電腦上可能會儲存著用戶信息、網路拓撲圖、商業秘密、財務報表、軍事情報和其他各類需要保密的資料，黑客獲得這些資料（即使只是檢視資料的內容而不下載）時正是破壞了保密性。在實際情況中，很多商業間諜和政治間諜都是這一類，他們只是默默地拿走你的資料而絕不做任何的破壞，而且盡最大可能地掩蓋自己行動的痕跡。這些黑客希望長時間大量地得到珍貴的資料而不被發覺，這其實是最可怕的一種攻擊行為。

　　很多黑客會在「肉雞」上安裝FTP軟體或者開放FTP服務，再下載其資料，但安裝軟體和開放服務這樣的動作很容易在系統中的各類日誌留下記錄，有可能被發現。而不希望被人發覺的黑客會自己建立一台FTP伺服器，讓「肉雞」做為客戶端把自己的資料上傳過來。

　　防禦方法

　　防止本身資料資料不被竊取，當然首先要考慮的是電腦本身不被攻破。如果自己是鐵桶一個，水潑不進，黑客無法在你的網路中的電腦取得任何訪問的權限，當然就杜絕了絕大多數的洩密可能（請注意，這時候還是有可能會洩密的！比如被黑客欺騙而將資料傳送出去）。我們先來看一下如何加強自己的電腦的操作系統，對於所有需要事先控制的攻擊方式，這些手段都是有效的，在以後的章節中就不重複說明了。

　　簡單地說，對於操作系統的加強，無論是Windows、Unix或是Linux，都可以從物理安全、文件系統、帳號管理、網路設定和套用服務幾個方面來考慮，在這裡我們不詳細討論全面的安全防護方案，只是提供一些簡單實用的系統安全檢查項目。這是安全的必要條件，而不是充分條件。

物理安全
簡單地說，物理安全就是你的電腦所在的物理環境是否可靠，會不會受到自然災害（如火災、水災、雷電等）和人為的破壞（失竊、破壞）等。物理安全並不完全是系統或者網路管理員的責任，還需要公司的其他部門如行政、保安等一起協作，不過因為這是其他安全手段的基礎，所以我們網管員還是應該密切注意的。要特別保證所有的重要設備與伺服器要集中在機房裡，並制訂機房相關制度，無關人員不得進入機房等。網管員無特殊情況也不要進入機房，需要可以從外面的指定終端進行管理。

如果重要的伺服器暴露在人人都可以接近的外部，那麼無論你的密碼設得多麼強大都沒用了，各種操作系統都可以用軟碟、光碟啟動來破解密碼。

文件系統安全
文件和目錄的權限設定得是否正確，對系統中那些重要的文件，權限要重新設定；
在Unix與Linux系統中，還要注意文件的setuid和setgid權限，是否有不適合的文件被賦予了這些權限；
帳號系統安全
帳號信息，用戶名和密碼是否合乎規則，具有足夠的複雜程度。不要把權限給予任何沒有必要的人；
在Unix/Linux中可以合理地使用su與sudo；
關閉無用帳號；
網路系統安全
關閉一切不必要的服務。這一點不必多說了吧，每個開放的服務就像一扇開啟的門，都有可能會被黑客悄悄地進入；
網路接頭特性。注意網路卡不要處在監聽的混雜模式；
防止DoS的網路設定。禁止IP轉發、不轉發轉發IP廣播、限定多宿主機、忽略和不傳送重轉發IP包、關閉時間戳回應、不回應Echo廣播、位址掩碼廣播、不轉發設定了源路由的包、加快ARP表過期時間、提高未連接貯列的大小、提高已連接貯列的大小；
禁用r*指令和telnet指令，用加密的SSH來遠端管理；
對NIS/NIS+進行安全性設定；
對NFS進行安全性設定；
套用服務安全
套用服務是伺服器存在的原因，又是經常會產生問題的地方。因為套用服務的種類太多，這裡無法一一敘述，就請大家注意一下這方面的資料吧。如果有可能，我會在今後繼續提供一些相關知識。可以肯定地說，沒有一種應用程式是完全安全的，必須依靠我們去重新設定。

　　對於防止資料被竊取，也有手段可以採用，使黑客侵入電腦之後不能盜竊資料和資料。這就是訪問控制和加密。系統訪問控制需要軟體來實現，可以限制root的權限，把那些重要的資料設定為除了特殊用戶外，連root都無法訪問，這樣即使黑客成為root也沒有用。加密的手段有很多，這裡也不詳細介紹了，文件通過加密會以密文的形式存放在硬碟中，如果不能正確解密，就是一堆沒有任何意義的字串，黑客就算拿到了也沒有用。

　　1.2、非法proxy

　　原理介紹

　　Proxy代理技術在提高Internet訪問速度與效率上有很大作用，在這種技術的基礎之上又出現了快取 Server等Internet訪問最佳化技術，但Proxy也被黑客利用來進行非法活動。黑客把「肉雞」設定為Proxy一般有兩個目的，首先與正常Proxy的目的一樣，是利用它更好地訪問Internet，進行WWW瀏覽；其次就是利用這台Proxy「肉雞」的特殊位置繞過一些訪問的限制。

　　普通的WWW Proxy其實在Internet上是很一般的，一些電腦免費而且開放地為所有電腦提供WWW Proxy服務，如果黑客想得到一台合適的Proxy時，並不需要自己親自去攻擊電腦並安裝Proxy軟體，只需利用這些現成的Proxy電腦就可以了。在駭軟站點上，有很多Proxy Hunter之類的軟體，輸入某個網段就可以執行去自動搜尋已經存在的Proxy電腦了。雖然Proxy本身並不會被攻擊，但是執行Proxy服務，在客戶端連接數目多的時候會造成很大的負擔。而且一些攻擊如Unicode、Lotus Notes、ASP攻擊也正是通過HTTP傳輸協定進行的，最終被攻擊者會把Proxy伺服器當做攻擊的來源，換句話說，Proxy伺服器會成為這些攻擊者的替罪羊。所以最好不要像外提供開放的Proxy服務，即使因為需要而開放了，也應加以嚴格的限制。

利用Proxy繞過一些訪問限制，在「肉雞」的利用中也是很一般的。舉個實例來說，某個公司為了提高工作效率，不允許員工使用QQ聊天，指示在公司的防火牆上限制了所有由內向外對UDP 8000這個連接埠的訪問，這樣內部就無法向外連接Internet上的QQ伺服器進行聊天了。但黑客利用自己設定的QQ Proxy就可以繞過這個限制正常訪問QQ伺服器。



　　如圖一，QQ Proxy同WWW Proxy的設定和使用方法是一樣的。在有了Internet上的QQ Proxy時，黑客在公司內部向外訪問QQ Proxy的UDP 18000連接埠，這是不被禁止的。而QQ Proxy會以客戶端的身份向真正的訪問目標-QQ伺服器進行訪問，然後把信息從UDP 18000連接埠向黑客電腦轉回去。這樣，黑客就利用Proxy實現了對訪問限制的突破。

　　還可以利用這個原理進行其他傳輸協定限制的繞過，如WWW、ICQ、MSN、Yahoo Messager、AOL等，只要Proxy軟體支持。

　　防禦方法

　　我們設立任何類型的Proxy伺服器時，應當對客戶端有所限制，不向無關的人員提供使用權限。這樣提高了伺服器的效率，又杜絕了黑客借我們的Proxy進行攻擊的可能。

　　防止內部人員利用外部的Proxy時，可以在防火牆上嚴格限制，只能對外部規定站點的規定服務進行訪問。當然這樣有可能造成業務上的不便，所以在具體環境下要具體考慮，綜合地權衡。

　　1.3、黑客交流平台

　　原理介紹

　　這又是「肉雞」的一大功能，黑客很喜歡把一些被托管在IDC中的「肉雞」設定為自己的BBS/E-mail伺服器，這些電腦一般都是CPU快、記憶體大、硬碟空間足和網速快的，對黑客需要的功能可以很好地支持。黑客分佈在世界範圍內的各個角落，除了一些類BIOS的黑客組織外，很多黑客都是只通過網路交流，如通過電子郵件、在線聊天等方式"互送秋波"，交流攻擊和其他技術，傾訴仰慕之情。很多交往多年的黑客好友從未在現實生活中見過面，這是毫不為奇的。

　　大家會問那麼黑客直接發電子郵件、上ICQ不就行了嗎？何必去冒險攻擊其他的電腦做為交流平台呢。請注意黑客之間傳播的都是一些不能被別人知道的信息，如"我已經控制了XXX省網的骨幹路由器，你想要一份它的路由表嗎？"，這樣的內容如果在任何一個郵件伺服器和聊天伺服器上被截獲，從道義上講這個網管都是有義務提醒被攻擊的網路負責人的，所以利用公共的網路交流手段對黑客來說並不可靠，黑客也要保密啊:-) 。那怎麼辦？黑客既然控制了「肉雞」，成為了「肉雞」的第二個"家長"，就有資格和權限去把它設定為交流用的伺服器。在這樣的交流平台上，黑客被發現的可能性小得多，最高的控制權限可以使黑客對這些活動進行各種各樣的掩飾。還有另一種利用形式就是FTP伺服器，供黑客兄弟們上傳下載黑客軟體，互通有無。

　　黑客在「肉雞」上做信息交換的時候，會產生大量的網路通信，尤其是利用FTP上傳下載時。如果發現你的內外部通信突然反常地加大，檢查一下自己的電腦吧。

　　防衛性差的「肉雞」其管理員一般水準也不會很高，再加上缺乏責任心，往往在自己的電腦被佔領了很長時間都不知道，直到有一天收到了高額的資料通信收費單，才大吃一驚："怎麼搞的？!"。- 難道他們自己就沒有責任嗎？

防禦方法

　　管理員要有既時監視的手段，並制定合理的檢查制度，定期地對所負責的網路和伺服器進行檢查。對於網路流量突然增大、可疑訪問出現、伺服器情況異常、不正常的日誌項等，都要立即進行檢查。要記得把這些記錄、日誌歸類制作備份，以便在出現情況時前後比較。

　　安全不安全很大程度上取決於管理員是否盡職盡責，好的管理員必須有好的習慣。

　　1.4、學習/開發平台

　　原理介紹

　　這種情況是比較少見的，卻很有意思。我們平時使用的是個人電腦，一般可以安裝Windows、FreeBSD、Linux和其他Unix系統的x86版本，如果要實習其他平台上的操作系統幾乎是不可能的。像AIX、HP-UX、Solaris（sparc）、IRIX等，都需要相應的硬體平台來配套，普通的個人電腦是裝不上的，這些知名廠商的Unix電腦又非常昂貴，成了一般電腦愛好者可望不可及的寶物。黑客兄弟們在這裡又有了大顯身手的時候了，到網上找到一些可以侵入的AIX什麼的機器，佔領之後，想學習這種平台的操作使用還不是很簡單的事嗎？我曾在一個黑客站點上看到有人轉讓一台Sun E250「肉雞」的控制權，開價300塊，可憐那個管理員，自己的機器已經被公開出售了還不知道。

　　黑客在「肉雞」上做開發就更少見了，因為這樣做會有很大的風險。許黑客都沒有全職的工作，他們中的很多人都是編程高手，會通過朋友和其他渠道攬一些程序開發的活計，掙些零花錢。很多定制的程序是要跑在特定平台上的，如果一個程序需要在HP-UX平台上開發偵錯怎麼辦？HP-UX電腦是很少能找到的。但黑客又可以利用自己的"特長"去攻下一台，做為開發平台。不過我們都知道開發偵錯程序的時候會有各種種樣的bug，輕則導致程序不正常，重則讓系統崩潰，還會在日誌裡留下記錄。這就是為什麼說這麼做很危險，因為它太容易被發現了。要是一台電腦被當做開發平台用了很久而管理員卻一無所知的話，這個管理員實在應該好好反省。

　　防禦方法

　　方法同前一部分，就不必多說了。關心你的伺服器吧。

　　二、利用「肉雞」進行攻擊

　　前面說的都是黑客如何利用「肉雞」做一些其他的事情，在第二大部分裡就要談一下黑客是如何利用「肉雞」進行攻擊其他電腦和網路行為的。黑客利用「肉雞」攻擊的原因主要有兩個：首先是萬一攻擊行為被下一個目標發現了，對方管理員在追查的時候只能找到這台「肉雞」，而不能直接抓出黑客自己，這為對方管理員追究責任造成了更大的困難；其次，對於某些類型的攻擊手段，「肉雞」所在的位置也許比黑客電腦所在的位置更有利。

　　下面介紹一下黑客利用「肉雞」來攻擊時的幾種方式。

　　2.1非法掃瞄/監聽平台

　　原理介紹

　　掃瞄和監聽是黑客對「肉雞」最常使用的借用手段，目標是本網路和其他網路中的電腦。被攻擊網路中總有一台電腦會被首先攻破，一旦開啟了這個缺口，整個網路就都危險了。這是由於在大多數的網路進行安全性設定時，主要的防衛方向是向外的，也就是說他們主要是防備外來的攻擊。黑客可以利用其對內部電腦防備較少的弱點，在控制一台電腦後，從這裡直接掃瞄。如圖二



圖二 「肉雞」在防火牆內部進行掃瞄

　　請看一下前後兩種情況的對比。防火牆是很一般的網路安全設備，在網路入口處起到了一個安全螢幕障的作用，尤其在黑客進行掃瞄的時候防火牆將堵住對絕大多數連接埠的探測。這時「肉雞」就有了用武之地，從這裡掃瞄本機網路中的其他電腦是不需要經過防火牆的，可以隨便地檢視它們的漏洞。而且這時候防火牆上也不會留下相應的日誌，不易被發覺。黑客可以在掃瞄結束時返回「肉雞」取一下結果，或者指令「肉雞」把掃瞄結果直接用電子郵件傳送到指定信箱。

　　對於在某個網路中進行非法監聽來說，本機有一台「肉雞」是必須的條件。由於乙太網的設計特點，監聽只能在本機進行。雖然隨著交換式乙太網的普及，網路非法監聽能收集到的信息大大減少，但對於那些與非法監聽軟體所在的「肉雞」通訊的電腦來說，威脅還是很大的。如果這個「肉雞」本身還是一台重要的伺服器，那麼危害就更大了，黑客在這上面會得到很多諸如用戶帳號、密碼、伺服器之間不合理的信任關係的信息等，對下一步攻擊起到很大的輔助作用。

　　防禦方法

　　防止掃瞄一般主要設定在防火牆上，除了內部那些開放了的服務以外，不允許其他的訪問進入，可以最大限度地防止信息洩露。至於同一網段上某個伺服器成了「肉雞」，一般情況下是沒法防止它掃瞄其他伺服器了，這就需要我們的防禦方向不但要像外，也要像內。關閉每一台電腦上不需要的服務，進行安全加強，讓內部的非法掃瞄器找不到可以利用的漏洞。

　　防禦監聽一般使用網路傳輸加密和交換式網路設備。管理員遠端登入系統時候，還是有很多人喜歡使用預設的telnet，這種明文傳輸的傳輸協定是黑客的最愛。使用SSH替代telnet和那些r指令，可以使網路上傳輸的資料成為不可讀的密文，保護你的帳號、密碼和其他重要的信息。交換式網路設備可以使單個電腦接收到的無用信息大大減少，從而降低非法監聽器的危害性。不過相對來說，它的成本還是比較高的。

　　2.2 攻擊的實際出發點

　　原理介紹

　　這裡所說的攻擊是指那些取得其他電腦控制權的動作，如溢出和漏洞攻擊等。與掃瞄監聽相同，從內部的「肉雞」發起的攻擊同樣不必經過防火牆，被阻擋和發現的可能減少了。從這裡攻擊時被發現了之後，追查時會找到黑客嗎？同樣也不行，只能先找到「肉雞」，再從這裡找黑客就困難了。

　　如果說「肉雞」做為掃瞄工具的時候象黑客的一隻眼睛，做監聽工具的時候象黑客的一隻耳朵，那麼「肉雞」實際進攻時就是黑客的一隻手。黑客借助「肉雞」這個內應來聽來看，來攻擊，而「肉雞」成為了提線木偶，舉手投足都被人從選程看不到的地方控制著。

　　防禦方法

　　也是需要對電腦進行嚴密的監視。請參考前面的內容。

　　2.3 DDoS攻擊傀儡

　　關於黑客利用「肉雞」進行DDoS攻擊的手段就不再贅述了，詳見《DDoS攻擊原理及防範》

　　2.4連接埠跳轉攻擊平台

　　原理介紹

　　這種攻擊方式一般是用來對付防火牆的訪問限制的。在很多網路中都使用了防火牆對外封閉一些危險的連接埠（這種防禦又是向外的），這裡黑客就可以在內部已經有「肉雞」的提前下，讓「肉雞」去訪問這些連接埠，注意這時不經過防火牆是不會被阻擋的，而黑客從一個不被防火牆限制的連接埠去訪問「肉雞」。在進行這種攻擊之前，黑客會在「肉雞」上進行設定，利用特殊的軟體把黑客對「肉雞」的訪問傳送到目標電腦上，連接埠也會變成那個危險連接埠，這樣黑客就繞過防火牆直接對目標電腦的危險連接埠進行攻擊了。

　　只用文字描述比較抽像，我們來看一個例子。

　　這是一個我們在實際的安全回應中的處理程序，這裡黑客使用了組合式的攻擊手段，其中包括對Windows伺服器一般的139連接埠攻擊，對Solaris系統的溢出攻擊，攻擊前的信息收集，還有2.4要裡著重介紹的連接埠跳轉攻擊的方式。



圖三(A) 網路初始結構

　　如圖三A，客戶方的系統管理員發現一台Windows2000伺服器的行為異常後，馬上切斷了這台伺服器的網路連接並向我們報告，這是當時的網路拓撲結構。經過仔細的診斷，我們推斷出黑客是利用了這台伺服器的139連接埠漏洞，從遠端利用nbtdump、密碼猜測工具、Windows net指令等取得了這台伺服器的控制權，並安裝了BO 2000木馬。但客戶的系統管理員立刻否定我們的判斷："雖然這台伺服器的139連接埠沒有關閉，但我已經在防火牆上設定了規則，使外部電腦不能訪問這台伺服器的139連接埠。"又是一個只防範外部攻擊的手段！難道大家都對內部攻擊占70%以上的比率視而不見嗎？不過這裡的路由器日誌顯示，黑客確實是從外部向這台伺服器的木馬連接埠進行連接的。難道黑客用了我們還不瞭解的新的攻擊手段？

　　我們於是繼續匯總分析各方面的資料，客戶管理員也配合我們進行檢查。在檢查網路上的其他主機時，我們發現內部網中有一台SUN工作站的網路卡上綁定了3個IP位址，其中一個IP位址與被攻擊Windows伺服器是一個網段的！這立刻引起了我們的注意。客戶管理員解釋說這是一台Solaris Sparc機器，經常用來做一些測試，有時也會接入伺服器網段，所以配了一個該網段的位址。而且就在一個多星期前，這台SUN工作站還放在伺服器網段。這就很可疑了，我們立刻對它進行了檢查，果然這台SUN工作站已經被佔領了，因為主要用途是測試，客戶管理員並沒有對它進行安全加強，攻破它是易如反掌的事情。在它上面發現了大量的掃瞄、監聽和日誌清除工具，另外還有我們意料之中的連接埠跳轉工具 - netcat，簡稱nc。



圖三B 「肉雞」跳板主機板被臨時放置在目標伺服器的同一網段

　　至此問題就比較清楚了：黑客首先佔領了這台毫不設防的SUN機，然後上載nc，設定連接埠跳轉，攻擊Windows 2000伺服器的139連接埠，並且成功地拿下了它。還原當時的網路拓撲圖應該是這樣的，如圖三B。



圖三C 利用「肉雞」跳板進行連接埠跳轉

　　圖三C解釋了連接埠跳板是如何起作用的。nc安裝後，黑客就會通過定制一些執行參數，在「肉雞」的後台建立起由「肉雞」的2139連接埠到目標電腦的139連接埠的跳轉。這就像是一條虛擬的通道，由「肉雞」的2139連接埠通向目標的139連接埠，任何向「肉雞」的2139進行的訪問都會自動地轉發到目標電腦的139連接埠上去。就是說，訪問「肉雞」的2139連接埠，就是在訪問目標的139連接埠。反過來，目標電腦的回饋信息也會通過「肉雞」的通道向黑客電腦返回。



圖三D 黑客通過兩次跳轉繞過防火牆對139連接埠的阻止

　　圖三D是我們分析後還原的nc連接埠跳轉攻擊拓撲圖，黑客在這裡需要兩次連接埠跳轉，第一次是利用自己的linux電腦把對139連接埠的訪問向SUN的2139連接埠傳送，這樣就繞過了防火牆對139連接埠的訪問限制。然後SUN會把對自己2139連接埠的訪問傳送到攻擊最終目標的139連接埠上。為什麼圖中的"黑客"電腦不直接訪問SUN的2139連接埠，而需要linux多跳轉一次呢？這是由於象net、nbtdump、遠端密碼猜測等手段都是預設針對139連接埠而且黑客無法改變的。

　　在這兩個連接埠跳板準備好了之後，黑客只要訪問自己的linux電腦上的139連接埠，就可以對目標的Windows伺服器進行攻擊了，「肉雞」的作用巨大啊。據瞭解這台SUN工作站當時在伺服器網段中只接入了三天不到的時間就搬到內部網裡了，可見黑客對這個網段的情況變化的掌握速度是很快的，管理員們不要因為只是臨時接入而忽略了安全。我們隨後又在路由器上找到了當時黑客遠端向SUN機的2139連接埠連接的日誌，至此就完全清楚了。

　　防禦方法

　　對於這種連接埠跳轉攻擊，除了加強內部主機，不使其侵入系統之外，還應對防火牆的規則進行嚴格的設定。設定規則可以按照先全部禁止，再單個放開的方法。這樣即使黑客從非危險的連接埠連接過來時，也會被防火牆禁止掉。

　　三、攻擊時直接借用

　　與上述各類情況不同，直接利用其他電腦做為攻擊平台時，黑客並不需要首先入侵這些被利用的電腦，而是誤導它們去攻擊目標。黑客在這裡利用了TCP/IP傳輸協定和操作系統本身的缺點漏洞，這種攻擊更難防範，特別是制止，尤其是後面兩種反射式分佈拒絕服務攻擊和DNS分佈拒絕服務攻擊。

　　3.1 Smurf攻擊

　　原理介紹

　　Smurf攻擊是這種攻擊的早期形式，是一種在區域網路中的攻擊手段。它的作用原理是關於廣播位址與回應請求的。一台電腦向另一台電腦傳送一些特殊的資料包如ping請求時，會接到它的回應；如果向本網路的廣播位址傳送請求包，實際上會到達網路上所有的電腦，這時就會得到所有電腦的回應。這些回應是需要被接收的電腦處理的，每處理一個就要佔用一份系統資源，如果同時接到網路上所有電腦的回應，接收方的系統是有可能吃不消的，就像遭到了DDoS攻擊一樣。大家會疑問，誰會無聊得去向網路位址發包而招來所有電腦的攻擊呢？

　　當然做為一個正常的操作者是不會這麼做的，但是當黑客要利用這個原理進行Smurf攻擊的時候，他會替代受害者來做這件事。



圖四 Smurf攻擊原理

　　如圖四，黑客向廣播位址傳送請求包，所有的電腦得到請求後，卻不會把回應發到黑客那裡，而是被攻擊的電腦處。這是因為黑客冒充了被攻擊主機。黑客發包所用的軟體是可以偽造源位址的，接到偽造資料包的主機會根據源位址把回應發出去，這當然就是被攻擊目標的位址。黑客同時還會把發包的間隔減到幾毫秒，這樣在服務機構時間能發出數以千計的請求，使受害者接到被欺騙電腦那裡傳來的洪水般的回應。像遭到其他類型的拒絕服務攻擊一樣，被攻擊主機會網路和系統無法回應，嚴重時還會導致系統崩潰。

黑客借助了網路中所有電腦來攻擊受害者，而不需要事先去佔領這些被欺騙的主機。

　　在實際使用中，黑客不會笨到在本機區域網路中幹這件事的，那樣很容易被查出。他們會從遠端傳送廣播包到目標電腦所在的網路來進行攻擊。

　　防禦方法

　　區域網路中是不必進行Smurf攻擊的防禦的。我們只需在路由器上進行設定，在收到轉發IP廣播資料包時將其丟棄就可以了，這樣本機廣播位址收不到請求包，Smurf攻擊就無從談起。注意還要把網路中有條件成為路由器的多宿主主機（多塊網路卡）進行系統設定，讓它們不接收和轉發這樣的廣播包。

　　3.2 DrDoS（反射式分佈拒絕服務攻擊）

　　原理介紹

　　這是DDoS攻擊的變形，它與DDoS的不同之處就是DrDoS不需要在實際攻擊之前佔領大量的傀儡機。這種攻擊也是在偽造資料包源位址的情況下進行的，從這一點上說與Smurf攻擊一樣，而DrDoS是可以在廣域網上進行的。其名稱中的"r"意為反射，就是這種攻擊行為最大的特點。黑客同樣利用特殊的發包工具，首先把偽造了源位址的SYN連接請求包傳送到那些被欺騙的電腦上，根據TCP三次握手的規則，這些電腦會向源IP發出SYN+ACK或RST包來回應這個請求。同Smurf攻擊一樣，黑客所傳送的請求包的源IP位址是被害者的位址，這樣受欺騙的電腦就都會把回應發到受害者處，造成該主機忙於處理這些回應而被拒絕服務攻擊。

　　具體的情況可以參考Smurf攻擊的原理結構圖四。

　　防禦方法

　　同DDoS的防禦，請參考《DDoS攻擊原理及防範》

　　3.3 DNS分佈拒絕服務攻擊

　　原理介紹

　　DNS拒絕服務攻擊原理同DrDoS攻擊相同，只是在這裡被欺騙利用的不是一般的電腦，而是DNS伺服器。黑客通過向多個DNS伺服器傳送大量的偽造的查詢請求，查詢請求資料包中的源IP位址為被攻擊主機的IP位址，DNS伺服器將大量的查詢結果傳送給被攻擊主機，使被攻擊主機所在的網路擁塞或不再對外提供服務。

　　防禦方法

　　通過限制查詢主機的IP位址可以減輕這種攻擊的影響，比較糟糕的是在現實環境中這麼做的DNS伺服器很少。目前不能從根本上解決這個問題。另外可以從自己的網路設備上監視和限制對DNS查詢請求的回應，如果突然出現流量劇增的情況，限制一下到達DNS伺服器的查詢請求，這樣可以避免自己管理的伺服器被欺騙而去攻擊無辜者。