什麼是 Fraggle 攻擊?
Fraggle 攻擊是 1990 年代出現的經典 DoS 手法,本質上是 Smurf 攻擊的 UDP 變體。攻擊者偽造受害者 IP 位址,向廣播位址大量發送 UDP 封包,觸發網路中所有主機回應,最終以放大流量淹沒受害者。
攻擊鎖定兩個關鍵服務埠:Port 7(Echo)會將收到的封包原封不動回送;Port 19(Chargen)則持續產生字元串流回應。兩者皆會製造大量回應流量,且無需任何身份驗證,是放大攻擊的理想目標。攻擊效果取決於廣播網段中的主機數量,主機越多,流量放大倍數越高。
攻擊流程與放大機制
攻擊流程分為三步驟:第一步,偽造來源 IP 為受害者位址;第二步,向廣播位址(如 192.168.1.255)發送大量 UDP 封包;第三步,網段內所有啟用 Echo/Chargen 的主機,將回應封包一齊送往受害者 IP。
若廣播網段有 100 台主機,攻擊者僅需送出 1 Mbps 流量,受害者即可能承受 100 Mbps 的回應洪流。這種「以小博大」的放大特性,使 Fraggle 即便在頻寬有限的環境下也能造成嚴重破壞,且偽造來源 IP 的特性讓追蹤攻擊者極為困難。
💡 重點整理
- 攻擊原理:偽造來源 IP + 廣播位址 + UDP Echo/Chargen,三者缺一不可。
- 放大效果:網段主機數量直接決定流量放大倍數,百台主機可達百倍放大。
- 防禦核心:在路由器或防火牆層封鎖定向廣播(Directed Broadcast)轉發。
- 補充措施:停用 Port 7 與 Port 19 服務,並部署入侵偵測系統(IDS)監控異常 UDP 流量。
現代作業系統預設已停用 Echo 與 Chargen 服務,多數路由器也預設關閉定向廣播轉發,使 Fraggle 攻擊的實際威脅大幅降低。然而理解其放大機制,對掌握現代 UDP 放大攻擊(如 DNS、NTP Amplification)的防禦思維仍具重要參考價值。
📚 參考文獻
- CERT Coordination Center — CERT Advisory CA-1998-01: Smurf IP Denial-of-Service Attacks(涵蓋 Fraggle 變體說明)
https://insights.sei.cmu.edu/library/cert-advisory-ca-1998-01-smurf-ip-denial-of-service-attacks/ - Cisco Systems — Defining Strategies to Protect Against UDP Diagnostic Port Denial of Service Attacks
https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html - IETF RFC 2644 — Changing the Default for Directed Broadcasts in Routers(定向廣播防禦標準)
https://datatracker.ietf.org/doc/html/rfc2644
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時
留言
張貼留言