路由器防御攻击技术解析

路由器防御攻击技术解析

                                                                                               
                    

一、目前最常见的攻击手段为Smurf攻击，它是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应，攻击的方法很多，但它们都具有一些共同的典型特征，使用欺骗的源地址、使用网络协议的缺陷、使用操作系统或软件的漏洞、在网络上产生大量的无用数据包消耗服务资源等。

二、Smurf攻击是根据它的攻击程序命名的，是一种ICMP echo flooding攻击，在这样的攻击中，ping包中包含的欺骗源地址指向的主机是最终的受害者，也是主要的受害者，而路由器连接的广播网段成为了攻击的帮凶，类似一个放大器，使网络流量迅速增大，也是受害者。

三、根据Smurf攻击的特征，可以从两个方面入手来防御Smurf的攻击，一是防止自己的网络成为攻击的帮凶即第一受害者，二是从最终受害者的角度来防御Smurf攻击。
Smurf要利用一个网络作为流量放大器，该网络必定具备以下特征：

(1)路由器允许有IP源地址欺骗的数据包通过;
(2)路由器将定向广播(发送到广播地址的数据包)转换成为第二层的广播并向连接网段广播;
(3)广播网络上的主机允许对ping广播作出回应;
(4)路由器对主机回应的ping数据流量未做限制。

所以，可以根据以上几点来重新规划网络，以使本地的网络不具备会成为流量放大器的条件就可以了，这样可以大大降低被攻击的可能性。