- 积分
- 521
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 最后登录
- 1970-1-1
- 阅读权限
- 40
- 听众
- 收听
中级工程师
 
|
smurf攻击,A是攻击者想要攻击B,A给广播地址发icmp的echo包,模拟源IP地址为B,收到广播的设备都回包给B,则很多设备同时给B回echo-reply。B一下收到这么多的回包会耗费大量资源。查看有没有遭受smurf攻击,用acl匹配,
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply log-input
access-list 111 permit ip any any
应用在接口下。如果echo-reply条目远远大于echo的条目,则有smurf攻击。解决方法,在接收各接收设备的接口上启用ACL,deny从真正的源IP来的echo广播地址,或关接收者上的定向广播.
开启定向广播指的是:R1--R2--PC R2收到一个定向广播,会把定向广播转成255.255.255.255 本地泛洪,这个网段的台式机会回包给源IP.最终形成smurf攻击。当关闭定向广播的时候,就是在R2上关闭,把定向广播转成255.255.255.255的功能,就不会泛洪给PC机。 不管是关不关定向广播功能,目的是定向广播地址的都会向外泛洪让路由器接收到。在接口下开启定向广播,ip directed-broadcast
下面的包是有开定向广播的时候,显示接口是否开定向广播的命令是:sh ip int f0/0
关了定向广播,因为pc不会接收1.1.23.255的包,所以只有R2给回包。
从log信息看是哪个主机发的smurf攻击,Log信息有真实源IP的MAC地址(IP地址伪造的,但是MAC是真的)。从而确定是从哪台PC来的攻击。
*Mar 1 00:05:08.803: %SEC-6-IPACCESSLOGDP: list 111 permitted icmp 1.1.23.3 (FastEthernet0/0 cc02.0e24.f000) -> 1.1.12.1 (0/0), 1 packet
*Mar 1 00:08:04.427: %SEC-6-IPACCESSLOGDP: list 111 permitted icmp 1.1.12.1 (FastEthernet0/0 cc00.0e24.f000) -> 1.1.23.3 (0/0), 27 packets
使用ACL方法做deny去向定向广播的流量:ip access-group 122 out
fraggle攻击是smurf攻击的变种,是对udp的echo和echo-reply的定向广播的泛洪
|
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2014-5-8 17:20:54
置顶卡
喧嚣卡
变色卡
千斤顶
