IP 重组时如何断定分片属于同一个IP包?
"IP包分片之间的标识号(id)是相同的".
------------------------------------------------------------------
Fragment Overlap 攻击。比起Tiny fragment攻击,fragment Overlap是更为精巧的攻击。攻击者为了发动攻击将攻击IP包分为两个分片。第一个分片中包含包过滤设备允许的 http(TCP 80) 等端口。在第二个分片中通过极小的偏移量造成第二个分片覆盖第一个分片的一部分内容。通常攻击者覆盖包含端口内容的部分。
由于在第一个分片中包含防火墙中允许的端口,因此第一个分片将会被通过。而第二个分片中具有允许通过的第一个分片ID,因此也被允许通过。但是当这两个分片到达目标主机进行重组之后,由于第一个分片的端口号被第二个分片的端口号覆盖,因此将会访问第二个分片中指定的端口。也就是绕过防火墙访问了未被授权的端口。
基于IP分片的拒绝服务攻击
IP分片不仅用于绕过防火墙或者IDS,而且也用于发动拒绝服务攻击。常见的Ping of Death 或者Teardrop属于这种攻击。
Ping of Death、Jolt 的攻击。这些攻击是通过发送超过RFC规范所规定IP报文而使操作系统无法正常工作的拒绝服务攻击。根据RFC-791 “Internet Protocol”规定,包含报头的IP 报文的最大长度为65,535, 在很多系统在处理IP报文时将其最大值假定为该值。通常可通过ping程序发起简单的攻击。一般情况下IP报头为20字节,而ICMP报头为 8字节,因此实际数据的最大长度为65535-20-8=65507字节。因此不限制ping报文最大长度的系统中,可通过如下命令发
阅读(3267) | 评论(0) | 转发(0) |
