2022-01-07 smurf攻击

向广播地址发送伪造源地址的 ICMP echo Request （ping）包

LAN 所有计算机向伪造源地址返回响应包

对现代操作系统几乎无效（不响应目标为广播的ping）

防范措施：

1 配置路由器禁止IP广播包进网

2 配置网络上所有计算机的操作系统，禁止对目标地址为广播地址的ICMP包响应。

3 被攻击目标与ISP协商，有ISP暂时阻止这些流量。

4 对于从本网络向外部网络发送的数据包，本网络应该将其源地址为其他网络的这部分数据包过滤掉。

使用限制：

由于路由器等三层设备本身就不会转发目的地址是广播地址的报文，因此Smurf攻击在网络上很难形成攻击。在防火墙上体检Smurf攻击必须要求被攻击网络是之间连接到防火墙上。