駭客對其侵佔的計算機的利用(轉)

駭客對其侵佔的計算機的利用(轉)[@more@]

　　駭客在進行攻擊時會借用其他系統來達到自己的目的，如對下一目標的攻擊和被侵佔計算機本身的利用等等。本文介紹了常見的駭客對被侵佔計算機的使用方式和安全管理員相應的應對方法。

駭客進行網路攻擊時，除了自己手中直接操作的計算機外，往往在攻擊進行時和完成之後利用、控制其他的計算機。他們或者是藉此達到攻擊的目的，或者是把這些計算機派做其他的用途。本文彙總描述了駭客各種利用其他計算機的手段，希望網路與系統管理員能透過了解這些攻擊辦法來達到更好地進行安全防範的目的。

一、對“肉雞”的利用

“肉雞”這個詞被駭客專門用來描述Internet上那些防護性差，易於被攻破而且控制的計算機。

1.1、本身資料被獲取

原理介紹

這是一臺計算機被攻破並完全控制之後，駭客要做的第一件事。很多駭客宣稱自己是非惡意的，只是對電腦保安感興趣，在進入別人的計算機時，不會進行破壞、刪除、篡改等操作。甚至還有更"好心"一些的駭客會為這些計算機打補丁，做一些安全加強。

但是他們都回避了一個問題，那就是對這些計算機上本身儲存的資料如何處理。確實，對別人的計算機進行破壞這種損人不利已的事情對這大多數駭客來講沒有太大意思，不過他們都不會反對把“肉雞”上的資料弄回來儲存。這時駭客再說"沒有進行破壞"是說不過去的，根據電腦保安的基本原則，當資料的"完整性、可用性和機密性"中任意三者之一在受到破壞的時候，都應視為安全受到了破壞。在被佔領的計算機上可能會儲存著使用者資訊、網路拓撲圖、商業秘密、財務報表、軍事情報和其他各類需要保密的資料，駭客獲得這些資料（即使只是檢視資料的內容而不下載）時正是破壞了保密性。在實際情況中，很多商業間諜和政治間諜都是這一類，他們只是默默地拿走你的資料而絕不做任何的破壞，而且盡最大可能地掩蓋自己行動的痕跡。這些駭客希望長時間大量地得到珍貴的資料而不被發覺，這其實是最可怕的一種攻擊行為。

很多駭客會在“肉雞”上安裝FTP軟體或者開放FTP服務，再下載其資料，但安裝軟體和開放服務這樣的動作很容易在系統中的各類日誌留下記錄，有可能被發現。而不希望被人發覺的駭客會自己建立一臺FTP伺服器，讓“肉雞”做為客戶端把自己的資料上傳過來。

防禦方法

防止本身資料資料不被竊取，當然首先要考慮的是計算機本身不被攻破。如果自己是鐵桶一個，水潑不進，駭客無法在你的網路中的計算機取得任何訪問的許可權，當然就杜絕了絕大多數的洩密可能（請注意，這時候還是有可能會洩密的！比如被駭客欺騙而將資料傳送出去）。我們先來看一下如何加強自己的計算機的作業系統，對於所有需要事先控制的攻擊方式，這些手段都是有效的，在以後的章節中就不重複說明了。

簡單地說，對於作業系統的加強，無論是Windows、Unix或是Linux，都可以從物理安全、檔案系統、帳號管理、網路設定和應用服務幾個方面來考慮，在這裡我們不詳細討論全面的安全防護方案，只是提供一些簡單實用的系統安全檢查專案。這是安全的必要條件，而不是充分條件。

物理安全

簡單地說，物理安全就是你的計算機所在的物理環境是否可靠，會不會受到自然災害（如火災、水災、雷電等）和人為的破壞（失竊、破壞）等。物理安全並不完全是系統或者網路管理員的責任，還需要公司的其他部門如行政、保安等一起協作，不過因為這是其他安全手段的基礎，所以我們網管員還是應該密切注意的。要特別保證所有的重要裝置與伺服器要集中在機房裡，並制訂機房相關制度，無關人員不得進入機房等。網管員無特殊情況也不要進入機房，需要可以從外面的指定終端進行管理。

如果重要的伺服器暴露在人人都可以接近的外部，那麼無論你的口令設得多麼強大都沒用了，各種作業系統都可以用軟盤、光碟啟動來破解密碼。

檔案系統安全

檔案和目錄的許可權設定得是否正確，對系統中那些重要的檔案，許可權要重新設定；

在Unix與Linux系統中，還要注意檔案的setuid和setgid許可權，是否有不適合的檔案被賦予了這些許可權；

帳號系統安全

帳號資訊，使用者名稱和密碼是否合乎規則，具有足夠的複雜程度。不要把許可權給予任何沒有必要的人；

在Unix/Linux中可以合理地使用su與sudo；

關閉無用賬號；

網路系統安全

關閉一切不必要的服務。這一點不必多說了吧，每個開放的服務就象一扇開啟的門，都有可能會被駭客悄悄地進入；

網路介面特性。注意網路卡不要處在監聽的混雜模式；

防止DoS的網路設定。禁止IP轉發、不轉發定向廣播、限定多宿主機、忽略和不傳送重定向包、關閉時間戳響應、不響應Echo廣播、地址掩碼廣播、不轉發設定了源路由的包、加快ARP表過期時間、提高未連線佇列的大小、提高已連線佇列的大小；

禁用r*命令和telnet命令，用加密的SSH來遠端管理；

對NIS/NIS+進行安全設定；

對NFS進行安全設定；

應用服務安全

應用服務是伺服器存在的原因，又是經常會產生問題的地方。因為應用服務的種類太多，這裡無法一一敘述，就請大家注意一下這方面的資料吧。如果有可能，我會在今後繼續提供一些相關知識。可以肯定地說，沒有一種應用程式是完全安全的，必須依靠我們去重新設定。

對於防止資料被竊取，也有手段可以採用，使駭客侵入計算機之後不能盜竊資料和資料。這就是訪問控制和加密。系統訪問控制需要軟體來實現，可以限制 root的許可權，把那些重要的資料設定為除了特殊使用者外，連root都無法訪問，這樣即使駭客成為root也沒有用。加密的手段有很多，這裡也不詳細介紹了，檔案透過加密會以密文的形式存放在硬碟中，如果不能正確解密，就是一堆沒有任何意義的字元，駭客就算拿到了也沒有用。

1.2、非法proxy

原理介紹

Proxy代理技術在提高Internet訪問速度與效率上有很大作用，在這種技術的基礎之上又出現了Cache Server等 Internet訪問最佳化技術，但Proxy也被駭客利用來進行非法活動。駭客把“肉雞”設定為Proxy一般有兩個目的，首先與正常Proxy的目的一樣，是利用它更好地訪問Internet，進行WWW瀏覽；其次就是利用這臺Proxy“肉雞”的特殊位置繞過一些訪問的限制。

普通的WWW Proxy其實在Internet上是很常見的，一些計算機免費而且開放地為所有計算機提供WWW Proxy服務，如果駭客想得到一臺合適的Proxy時，並不需要自己親自去攻擊計算機並安裝Proxy軟體，只需利用這些現成的Proxy計算機就可以了。在駭軟站點上，有很多 Proxy Hunter之類的軟體，輸入某個網段就可以執行去自動搜尋已經存在的Proxy計算機了。雖然Proxy本身並不會被攻擊，但是執行 Proxy服務，在客戶端連線數目多的時候會造成很大的負擔。而且一些攻擊如Unicode、Lotus Notes、ASP攻擊也正是透過HTTP協議進行的，最終被攻擊者會把Proxy伺服器當做攻擊的來源，換句話說，Proxy伺服器會成為這些攻擊者的替罪羊。所以最好不要向外提供開放的Proxy 服務，即使因為需要而開放了，也應加以嚴格的限制。

利用Proxy繞過一些訪問限制，在“肉雞”的利用中也是很常見的。舉個例項來說，某個公司為了提高工作效率，不允許員工使用QQ聊天，指示在公司的防火牆上限制了所有由內向外對UDP 8000這個埠的訪問，這樣內部就無法向外連線Internet上的QQ伺服器進行聊天了。但駭客利用自己設定的QQ Proxy就可以繞過這個限制正常訪問QQ伺服器。

QQ Proxy同WWW Proxy的設定和使用方法是一樣的。在有了Internet上的QQ Proxy時，駭客在公司內部向外訪問 QQ Proxy的UDP 18000埠，這是不被禁止的。而QQ Proxy會以客戶端的身份向真正的訪問目標-QQ伺服器進行訪問，然後把資訊從 UDP 18000埠向駭客計算機轉回去。這樣，駭客就利用Proxy實現了對訪問限制的突破。

還可以利用這個原理進行其他協議限制的繞過，如WWW、ICQ、MSN、Yahoo Messager、AOL等，只要Proxy軟體支援。

防禦方法

我們設立任何型別的Proxy伺服器時，應當對客戶端有所限制，不向無關的人員提供使用許可權。這樣提高了伺服器的效率，又杜絕了駭客借我們的Proxy進行攻擊的可能。

防止內部人員利用外部的Proxy時，可以在防火牆上嚴格限制，只能對外部規定站點的規定服務進行訪問。當然這樣有可能造成業務上的不便，所以在具體環境下要具體考慮，綜合地權衡。

1.3、駭客交流平臺

原理介紹

這又是“肉雞”的一大功能，駭客很喜歡把一些被託管在IDC中的“肉雞”設定為自己的BBS/E-mail伺服器，這些計算機一般都是CPU快、記憶體大、硬碟空間足和網速快的，對駭客需要的功能可以很好地支援。駭客分佈在世界範圍內的各個角落，除了一些固定的駭客組織外，很多駭客都是隻透過網路交流，如透過電子郵件、線上聊天等方式"互送秋波"，交流攻擊和其他技術，傾訴仰慕之情。很多交往多年的駭客好友從未在現實生活中見過面，這是毫不為奇的。

大家會問那麼駭客直接發電子郵件、上ICQ不就行了嗎？何必去冒險攻擊其他的計算機做為交流平臺呢。請注意駭客之間傳播的都是一些不能被別人知道的資訊，如"我已經控制了XXX省網的骨幹路由器，你想要一份它的路由表嗎？"，這樣的內容如果在任何一個郵件伺服器和聊天伺服器上被截獲，從道義上講這個網管都是有義務提醒被攻擊的網路負責人的，所以利用公共的網路交流手段對駭客來說並不可靠，駭客也要保密啊:-) 。那怎麼辦？駭客既然控制了“肉雞”，成為了“肉雞”的第二個"家長"，就有資格和許可權去把它設定為交流用的伺服器。在這樣的交流平臺上，駭客被發現的可能性小得多，最高的控制許可權可以使駭客對這些活動進行各種各樣的掩飾。還有另一種利用形式就是FTP伺服器，供駭客兄弟們上傳下載駭客軟體，互通有無。

駭客在“肉雞”上做資訊交換的時候，會產生大量的網路通訊，尤其是利用FTP上傳下載時。如果發現你的內外部通訊突然反常地加大，檢查一下自己的計算機吧。

防衛性差的“肉雞”其管理員一般水平也不會很高，再加上缺乏責任心，往往在自己的計算機被佔領了很長時間都不知道，直到有一天收到了高額的資料通訊收費單，才大吃一驚："怎麼搞的？!"。- 難道他們自己就沒有責任嗎？

防禦方法

管理員要有實時監視的手段，並制定合理的檢查制度，定期地對所負責的網路和伺服器進行檢查。對於網路流量突然增大、可疑訪問出現、伺服器情況異常、不正常的日誌項等，都要立即進行檢查。要記得把這些記錄、日誌歸類備份，以便在出現情況時前後比較。

安全不安全很大程度上取決於管理員是否盡職盡責，好的管理員必須有好的習慣。

1.4、學習/開發平臺

原理介紹

這種情況是比較少見的，卻很有意思。我們平時使用的是個人計算機，一般可以安裝Windows、FreeBSD、Linux和其他Unix系統的 x86版本，如果要實習其他平臺上的作業系統幾乎是不可能的。象AIX、HP-UX、Solaris（sparc）、IRIX等，都需要相應的硬體平臺來配套，普通的個人計算機是裝不上的，這些知名廠商的Unix計算機又非常昂貴，成了一般計算機愛好者可望不可及的寶物。駭客兄弟們在這裡又有了大顯身手的時候了，到網上找到一些可以侵入的AIX什麼的機器，佔領之後，想學習這種平臺的操作使用還不是很簡單的事嗎？我曾在一個駭客站點上看到有人轉讓一臺 Sun E250“肉雞”的控制權，開價300塊，可憐那個管理員，自己的機器已經被公開出售了還不知道。

駭客在“肉雞”上做開發就更少見了，因為這樣做會有很大的風險。許駭客都沒有全職的工作，他們中的很多人都是程式設計高手，會透過朋友和其他渠道攬一些程式開發的活計，掙些零花錢。很多定製的程式是要跑在特定平臺上的，如果一個程式需要在HP-UX平臺上開發除錯怎麼辦？HP-UX計算機是很少能找到的。但駭客又可以利用自己的"特長"去攻下一臺，做為開發平臺。不過我們都知道開發除錯程式的時候會有各種種樣的bug，輕則導致程式不正常，重則讓系統崩潰，還會在日誌裡留下記錄。這就是為什麼說這麼做很危險，因為它太容易被發現了。要是一臺計算機被當做開發平臺用了很久而管理員卻一無所知的話，這個管理員實在應該好好反省。

防禦方法

方法同前一部分，就不必多說了。關心你的伺服器吧。

二、利用“肉雞”進行攻擊

前面說的都是駭客如何利用“肉雞”做一些其他的事情，在第二大部分裡就要談一下駭客是如何利用“肉雞”進行攻擊其他計算機和網路行為的。駭客利用 “肉雞”攻擊的原因主要有兩個：首先是萬一攻擊行為被下一個目標發現了，對方管理員在追查的時候只能找到這臺“肉雞”，而不能直接抓出駭客自己，這為對方管理員追究責任造成了更大的困難；其次，對於某些型別的攻擊手段，“肉雞”所在的位置也許比駭客計算機所在的位置更有利。

下面介紹一下駭客利用“肉雞”來攻擊時的幾種方式。

2.1非法掃描/監聽平臺

原理介紹

掃描和監聽是駭客對“肉雞”最常使用的借用手段，目標是本網路和其他網路中的計算機。被攻擊網路中總有一臺計算機會被首先攻破，一旦開啟了這個缺口，整個網路就都危險了。這是由於在大多數的網路進行安全設定時，主要的防衛方向是向外的，也就是說他們主要是防備外來的攻擊。駭客可以利用其對內部計算機防備較少的弱點，在控制一臺計算機後，從這裡直接掃描。

請看一下前後兩種情況的對比。防火牆是很常見的網路安全裝置，在網路入口處起到了一個安全屏障的作用，尤其在駭客進行掃描的時候防火牆將堵住對絕大多數埠的探測。這時“肉雞”就有了用武之地，從這裡掃描本地網路中的其他計算機是不需要經過防火牆的，可以隨便地檢視它們的漏洞。而且這時候防火牆上也不會留下相應的日誌，不易被發覺。駭客可以在掃描結束時返回“肉雞”取一下結果，或者命令“肉雞”把掃描結果直接用電子郵件傳送到指定信箱。

對於在某個網路中進行非法監聽來說，本地有一臺“肉雞”是必須的條件。由於乙太網的設計特點，監聽只能在本地進行。雖然隨著交換式乙太網的普及，網路非法監聽能收集到的資訊大大減少，但對於那些與非法監聽軟體所在的“肉雞”通訊的計算機來說，威脅還是很大的。如果這個“肉雞”本身還是一臺重要的伺服器，那麼危害就更大了，駭客在這上面會得到很多諸如使用者帳號、密碼、伺服器之間不合理的信任關係的資訊等，對下一步攻擊起到很大的輔助作用。

防禦方法

防止掃描一般主要設定在防火牆上，除了內部那些開放了的服務以外，不允許其他的訪問進入，可以最大限度地防止資訊洩露。至於同一網段上某個伺服器成了“肉雞”，一般情況下是沒法防止它掃描其他伺服器了，這就需要我們的防禦方向不但要向外，也要向內。關閉每一臺計算機上不需要的服務，進行安全加強，讓內部的非法掃描器找不到可以利用的漏洞。

防禦監聽一般使用網路傳輸加密和交換式網路裝置。管理員遠端登入系統時候，還是有很多人喜歡使用預設的telnet，這種明文傳輸的協議是駭客的最愛。使用SSH代替telnet和那些r命令，可以使網路上傳輸的資料成為不可讀的密文，保護你的帳號、口令和其他重要的資訊。交換式網路裝置可以使單個計算機接收到的無用資訊大大減少，從而降低非法監聽器的危害性。不過相對來說，它的成本還是比較高的。

2.2 攻擊的實際出發點

原理介紹

這裡所說的攻擊是指那些取得其他計算機控制權的動作，如溢位和漏洞攻擊等。與掃描監聽相同，從內部的“肉雞”發起的攻擊同樣不必經過防火牆，被阻擋和發現的可能減少了。從這裡攻擊時被發現了之後，追查時會找到駭客嗎？同樣也不行，只能先找到“肉雞”，再從這裡找駭客就困難了。

如果說“肉雞”做為掃描工具的時候象駭客的一隻眼睛，做監聽工具的時候象駭客的一隻耳朵，那麼“肉雞”實際進攻時就是駭客的一隻手。駭客藉助“肉雞”這個內應來聽來看，來攻擊，而“肉雞”成為了提線木偶，舉手投足都被人從選程看不到的地方控制著。

防禦方法

也是需要對計算機進行嚴密的監視。請參考前面的內容。

2.3 DDoS攻擊傀儡

關於駭客利用“肉雞”進行DDoS攻擊的手段就不再贅述了，詳見IBM DeveloperWorks曾經刊登的文章《分散式拒絕服務攻擊(DDoS)原理及防範》

2.4埠跳轉攻擊平臺

原理介紹

這種攻擊方式一般是用來對付防火牆的訪問限制的。在很多網路中都使用了防火牆對外封閉一些危險的埠（這種防禦又是向外的），這裡駭客就可以在內部已經有“肉雞”的提前下，讓“肉雞”去訪問這些埠，注意這時不經過防火牆是不會被阻擋的，而駭客從一個不被防火牆限制的埠去訪問“肉雞”。在進行這種攻擊之前，駭客會在“肉雞”上進行設定，利用特殊的軟體把駭客對“肉雞”的訪問傳送到目標計算機上，埠也會變成那個危險埠，這樣駭客就繞過防火牆直接對目標計算機的危險埠進行攻擊了。

只用文字描述比較抽象，我們來看一個例子。

這是一個我們在實際的安全響應中的處理過程，這裡駭客使用了組合式的攻擊手段，其中包括對Windows伺服器常見的139埠攻擊，對Solaris系統的溢位攻擊，攻擊前的資訊收集，還有2.4要裡著重介紹的埠跳轉攻擊的方式。

客戶方的系統管理員發現一臺Windows2000伺服器的行為異常後，馬上切斷了這臺伺服器的網路連線並向我們報告，這是當時的網路拓撲結構。經過仔細的診斷，我們推斷出駭客是利用了這臺伺服器的139埠漏洞，從遠端利用nbtdump、口令猜測工具、Windows net命令等取得了這臺伺服器的控制權，並安裝了BO 2000木馬。但客戶的系統管理員立刻否定我們的判斷："雖然這臺伺服器的139埠沒有關閉，但我已經在防火牆上設定了規則，使外部計算機不能訪問這臺伺服器的139埠。"又是一個只防範外部攻擊的手段！難道大家都對內部攻擊佔70%以上的比率視而不見嗎？不過這裡的路由器日誌顯示，駭客確實是從外部向這臺伺服器的木馬埠進行連線的。難道駭客用了我們還不瞭解的新的攻擊手段？

我們於是繼續彙總分析各方面的資料，客戶管理員也配合我們進行檢查。在檢查網路上的其他主機時，我們發現內部網中有一臺SUN工作站的網路卡上繫結了3個IP地址，其中一個IP地址與被攻擊Windows伺服器是一個網段的！這立刻引起了我們的注意。客戶管理員解釋說這是一臺 Solaris Sparc機器，經常用來做一些測試，有時也會接入伺服器網段，所以配了一個該網段的地址。而且就在一個多星期前，這臺SUN工作站還放在伺服器網段。這就很可疑了，我們立刻對它進行了檢查，果然這臺SUN工作站已經被佔領了，因為主要用途是測試，客戶管理員並沒有對它進行安全加強，攻破它是易如反掌的事情。在它上面發現了大量的掃描、監聽和日誌清除工具，另外還有我們意料之中的埠跳轉工具 - netcat，簡稱nc。

至此問題就比較清楚了：駭客首先佔領了這臺毫不設防的SUN機，然後上載nc，設定埠跳轉，攻擊Windows 2000伺服器的139埠，並且成功地拿下了它。還原當時的網路拓撲圖應該是這樣的。

解釋了埠跳板是如何起作用的。nc安裝後，駭客就會透過定製一些執行引數，在“肉雞”的後臺建立起由“肉雞”的2139埠到目標計算機的 139埠的跳轉。這就象是一條虛擬的通道，由“肉雞”的2139埠通向目標的139埠，任何向“肉雞”的2139進行的訪問都會自動地轉發到目標計算機的139埠上去。就是說，訪問“肉雞”的2139埠，就是在訪問目標的139埠。反過來，目標計算機的回饋資訊也會透過“肉雞”的通道向駭客計算機返回。

駭客需要兩次埠跳轉，第一次是利用自己的linux計算機把對139埠的訪問向SUN的2139埠傳送，這樣就繞過了防火牆對139埠的訪問限制。然後SUN會把對自己2139埠的訪問傳送到攻擊最終目標的139埠上。為什麼圖中的"駭客"計算機不直接訪問SUN的2139埠，而需要linux多跳轉一次呢？這是由於象net、nbtdump、遠端口令猜測等手段都是預設針對139埠而且駭客無法改變的。

在這兩個埠跳板準備好了之後，駭客只要訪問自己的linux機器上的139埠，就可以對目標的Windows伺服器進行攻擊了，“肉雞”的作用巨大啊。據瞭解這臺SUN工作站當時在伺服器網段中只接入了三天不到的時間就搬到內部網裡了，可見駭客對這個網段的情況變化的掌握速度是很快的，管理員們不要因為只是臨時接入而忽略了安全。我們隨後又在路由器上找到了當時駭客遠端向SUN機的2139埠連線的日誌，至此就完全清楚了。

防禦方法

對於這種埠跳轉攻擊，除了加強內部主機，不使其侵入系統之外，還應對防火牆的規則進行嚴格的設定。設定規則可以按照先全部禁止，再單個放開的方法。這樣即使駭客從非危險的埠連線過來時，也會被防火牆禁止掉。

三、攻擊時直接借用

與上述各類情況不同，直接利用其他計算機做為攻擊平臺時，駭客並不需要首先入侵這些被利用的計算機，而是誤導它們去攻擊目標。駭客在這裡利用了 TCP/IP協議和作業系統本身的缺點漏洞，這種攻擊更難防範，特別是制止，尤其是後面兩種反射式分佈拒絕服務攻擊和DNS分佈拒絕服務攻擊。

3.1 Smurf攻擊

原理介紹

Smurf攻擊是這種攻擊的早期形式，是一種在區域網中的攻擊手段。它的作用原理是基於廣播地址與回應請求的。一臺計算機向另一臺計算機傳送一些特殊的資料包如ping請求時，會接到它的回應；如果向本網路的廣播地址傳送請求包，實際上會到達網路上所有的計算機，這時就會得到所有計算機的回應。這些回應是需要被接收的計算機處理的，每處理一個就要佔用一份系統資源，如果同時接到網路上所有計算機的回應，接收方的系統是有可能吃不消的，就象遭到了 DDoS攻擊一樣。大家會疑問，誰會無聊得去向網路地址發包而招來所有計算機的攻擊呢？

當然做為一個正常的操作者是不會這麼做的，但是當駭客要利用這個原理進行Smurf攻擊的時候，他會代替受害者來做這件事。

駭客向廣播地址傳送請求包，所有的計算機得到請求後，卻不會把回應發到駭客那裡，而是被攻擊的計算機處。這是因為駭客冒充了被攻擊主機。駭客發包所用的軟體是可以偽造源地址的，接到偽造資料包的主機會根據源地址把回應發出去，這當然就是被攻擊目標的地址。駭客同時還會把發包的間隔減到幾毫秒，這樣在單位時間能發出數以千計的請求，使受害者接到被欺騙計算機那裡傳來的洪水般的回應。象遭到其他型別的拒絕服務攻擊一樣，被攻擊主機會網路和系統無法響應，嚴重時還會導致系統崩潰。

駭客藉助了網路中所有計算機來攻擊受害者，而不需要事先去佔領這些被欺騙的主機。

在實際使用中，駭客不會笨到在本地區域網中幹這件事的，那樣很容易被查出。他們會從遠端傳送廣播包到目標計算機所在的網路來進行攻擊。

防禦方法

區域網中是不必進行Smurf攻擊的防禦的。我們只需在路由器上進行設定，在收到定向廣播資料包時將其丟棄就可以了，這樣本地廣播地址收不到請求包，Smurf攻擊就無從談起。注意還要把網路中有條件成為路由器的多宿主主機（多塊網路卡）進行系統設定，讓它們不接收和轉發這樣的廣播包。

3.2 DrDoS（反射式分佈拒絕服務攻擊）

原理介紹

這是DDoS攻擊的變形，它與DDoS的不同之處就是DrDoS不需要在實際攻擊之前佔領大量的傀儡機。這種攻擊也是在偽造資料包源地址的情況下進行的，從這一點上說與Smurf攻擊一樣，而DrDoS是可以在廣域網上進行的。其名稱中的"r"意為反射，就是這種攻擊行為最大的特點。駭客同樣利用特殊的發包工具，首先把偽造了源地址的SYN連線請求包傳送到那些被欺騙的計算機上，根據TCP三次握手的規則，這些計算機會向源IP發出SYN+ACK 或RST包來響應這個請求。同Smurf攻擊一樣，駭客所傳送的請求包的源IP地址是被害者的地址，這樣受欺騙的計算機就都會把回應發到受害者處，造成該主機忙於處理這些回應而被拒絕服務攻擊。

3.3 DNS分佈拒絕服務攻擊

原理介紹

DNS拒絕服務攻擊原理同DrDoS攻擊相同，只是在這裡被欺騙利用的不是一般的計算機，而是DNS伺服器。駭客透過向多個DNS伺服器傳送大量的偽造的查詢請求，查詢請求資料包中的源IP地址為被攻擊主機的IP地址，DNS伺服器將大量的查詢結果傳送給被攻擊主機，使被攻擊主機所在的網路擁塞或不再對外提供服務。

防禦方法

透過限制查詢主機的IP地址可以減輕這種攻擊的影響，比較糟糕的是在現實環境中這麼做的DNS伺服器很少。目前不能從根本上解決這個問題。另外可以從自己的網路裝置上監視和限制對DNS查詢請求的回應，如果突然出現流量劇增的情況，限制一下到達DNS伺服器的查詢請求，這樣可以避免自己管理的伺服器被欺騙而去攻擊無辜者。

參考資料

關於Unix主機系統加強：

關於Windows主機系統加強：

http://www.winguides.com/security/

系統安全的最小特權原則

http://www-900.ibm.com/developerWorks/cn/security/se-limited/index.shtml

網路與資料加密：

http://www.microsoft.com/windowsxp/pro/using/howto/security/encryptdata.asp

http://www.microsoft.com/windowsxp/pro/using/itpro/securing/encryptoffline.asp

網路監聽：

http://www-900.ibm.com/developerWorks/cn/security/se-sniff/index.shtml