스머프 공격의 공격과정

스머프 공격은 피해자 네트워크의 브로드캐스트 주소로 설정된 응답 주소를 갖는 ICMP 응답 요청(핑) 패킷으로 피해자 호스트를 플러딩시켜 결국 네트워크의 모든 호스트가 ICMP 응답 요청에 응답하게 만듭니다. . 응답이 발행되어 네트워크 정체가 발생합니다. 보다 정교한 스머프는 소스 주소를 제3자 피해자로 변경하여 결국 제3자가 충돌하게 만듭니다.

공격 과정은 다음과 같습니다. Woodlly Attacker는 호스트 수가 많고 인터넷 연결이 많은 네트워크의 브로드캐스트 주소로 스푸핑된 Ping 패킷(에코 요청)을 보냅니다. 이 대상 네트워크를 리바운드 사이트라고 합니다. 스푸핑된 핑 패킷의 소스 주소는 Woolly가 공격하려는 시스템입니다.

이 공격의 전제는 라우터가 IP 브로드캐스트 주소(예: 206.121.73.255)로 전송된 패킷을 수신한 후 이것이 브로드캐스트 패킷이라고 생각하고 이더넷 브로드캐스트 주소 FF를 변경한다는 것입니다. :FF: FF:FF:FF:FF:매핑되었습니다. 이러한 방식으로 라우터는 인터넷에서 패킷을 수신한 후 이를 로컬 네트워크 세그먼트의 모든 호스트에 브로드캐스트합니다.

다음에는 어떤 일이 일어날지 독자들은 확실히 상상할 수 있다. 네트워크 세그먼트의 모든 호스트는 스푸핑된 그룹의 IP 주소로 에코 응답 정보를 보냅니다. 이것이 대규모 이더넷 세그먼트인 경우 수신된 에코 요청에 응답하는 호스트가 500개 이상일 수 있습니다.

대부분의 시스템은 ICMP 전송 정보를 최대한 빨리 처리하기 때문에 Woodlly Attacker는 패킷의 소스 주소를 대상 시스템으로 설정하므로 대상 시스템은 곧 많은 수의 에코 메시지에 휩싸이게 되므로 시스템이 다른 네트워크 트래픽을 처리하지 못하게 하여 일반 시스템에 대한 서비스 거부를 유발합니다.

이 공격은 대상 시스템뿐만 아니라 대상 회사의 인터넷 연결에도 영향을 미칩니다. 반송 사이트에 T3 연결(45Mbps)이 있고 대상 시스템이 위치한 회사가 전용 회선(56Kbps)을 사용하는 경우 해당 회사로 들어오고 나가는 모든 트래픽이 중지됩니다.

이런 종류의 공격은 이제 거의 발생하지 않으며 대부분의 네트워크는 이미 이러한 종류의 공격에 면역되어 있습니다.