IP碎片攻击(IP fragment attack)是常见的网络层DoS。当IP数据包的长度大于数据链路层的MTU(maxmium transmission unit,最大传输单元)时,需要对IP数据包进行分片操作。在IP头部有三个字段用于控制IP数据包的分片(如图2),其中标识(identification)用来指明分片从属的IP数据包;标志(flag)用来控制是否对IP数据包进行分片和该分片是否是最后分片;分片偏移(Fragment offset)指明该分片在原数据包中的位置,以8Byte为基本单位。若该字段的值为100,则表示该分片中数据处于原IP数据包的800Byte之后。\r\n \r\n\r\nIP碎片攻击利用了IP分片重组中的漏洞;所有IP分片长度之和可以大于最大IP数据包长度(65535Byte)。通常,TCP/IP协议栈接受到正常IP分片时,会按照分片的偏移字段的值为该IP数据包预留缓冲区。当收到拥有恶意分片偏移字段值的IP分片时,TCP/IP则会为该IP数据包预留超常缓冲区。如果TCP/IP协议接收到大量的恶意IP分片,就会导致缓冲区溢出,使主机宕机,合法服务请求被拒绝。使用ICMP ECHO REQUEST的IP碎片攻击被称为死亡之PING(death of ping),因为ICMP ECHO REQUEST 经常由Ping程序产生。\r\n 分片字段\r\n\r\nIdentification \r\n | Flags \r\n | Fragment offset \r\n |
\r\n\r\n\r\nICMP flooding 是另外一种网络层的DoS。它是通过向攻击主机发送大量的ICMP ECHO REQUEST数据包,导致大量资源被用于ICMP ECHO REPLY ,合法服务请求被拒绝。还有一种ICMP flooding ,使用目的地址为直接广播地址(directed broadcast,如202.103.245.255/24)的IP数据包,不仅占用网络的带宽资源,通过使用虚假IP地址,可以发动对特定主机的攻击。 \r\n\r\nIP碎片攻击防范 \r\n安全实体策略:在网络边界和路由(防火墙)上禁止IP碎片通过或者设定突发碎片包上限,但如果设置不当这可能会使正常的数据通信不能完成。主机实体策略就是为操作系统打上补丁,也可以修补IP分片重组漏洞。 \r\n![]() \r\n\r\n我们可以参考海蜘蛛路由上推荐的这个值2000-3000包/秒来设置突发碎片包上限,这里不可设置太低,否则可能会影响正常通信。\r\n\r\nICMP flooding防范 \r\n禁止ICMP ECHO REQUEST通过路由器(禁PING)或者限制突发ICMP包上限。 \r\n\r\n禁PING的话有时可能造成网络排错困难。 | 
免费注册
发表于 2008-08-26 13:57