2023年全國碩士研究生考試考研英語一試題真題(含答案詳解+作文范文)_第1頁
已閱讀1頁,還剩4頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、常見IP碎片攻擊詳解作者Sinbad原作者姓名Sinbad正文本文簡單介紹了IP分片原理,并結(jié)合Snt抓包結(jié)果詳細(xì)分析常見IP碎片攻擊的原理和特征,最后對阻止IP碎片攻擊給出一些建議。希望對加深理解IP協(xié)議和一些DoS攻擊手段有所幫助。1.為什么存在IP碎片===========鏈路層具有最大傳輸單元MTU這個(gè)特性,它限制了數(shù)據(jù)幀的最大長度,不同的網(wǎng)絡(luò)類型都有一個(gè)上限值。以太網(wǎng)的MTU是1500,你可以用stati命令查看這個(gè)值。如果I

2、P層有數(shù)據(jù)包要傳,而且數(shù)據(jù)包的長度超過了MTU,那么IP層就要對數(shù)據(jù)包進(jìn)行分片(fragmentation)操作,使每一片的長度都小于或等于MTU。我們假設(shè)要傳輸一個(gè)UDP數(shù)據(jù)包,以太網(wǎng)的MTU為1500字節(jié),一般IP首部為20字節(jié),UDP首部為8字節(jié),數(shù)據(jù)的凈荷(payload)部分預(yù)留是1500208=1472字節(jié)。如果數(shù)據(jù)部分大于1472字節(jié),就會出現(xiàn)分片現(xiàn)象。IP首部包含了分片和重組所需的信息:|Identification|R

3、|DF|MF|FragmentOffset|||||Identification:發(fā)送端發(fā)送的IP數(shù)據(jù)包標(biāo)識字段都是一個(gè)唯一值,該值在分片時(shí)被復(fù)制到每個(gè)片中。R:保留未用。DF:DontFragment,“不分片”位,如果將這一比特置1,IP層將不對數(shù)據(jù)報(bào)進(jìn)行分片。MF:MeFragment,“更多的片”,除了最后一片外,其他每個(gè)組成數(shù)據(jù)報(bào)的片都要把比特置1。FragmentOffset:該片偏移原始數(shù)據(jù)包開始處的位置。偏移的字節(jié)數(shù)是該

4、值乘以8。另外,當(dāng)數(shù)據(jù)報(bào)被分片后,每個(gè)片的總長度值要改為該片的長度值。每一IP分片都各自路由,到達(dá)目的主機(jī)后在IP層重組,請放心,首部中的數(shù)據(jù)能夠正確完成分片的重組。你不禁要問,既然分片可以被重組,那么所謂的碎片攻擊是如何產(chǎn)生的呢?2.IP碎片攻擊===========IP首部有兩個(gè)字節(jié)表示整個(gè)IP數(shù)據(jù)包的長度,所以IP數(shù)據(jù)包最長只能為0xFFFF,就是65535字發(fā)送的UDP包:011014:21:00.298282192.168.0

5、.9192.168.0.1UDPTTL:255TOS:0x0ID:1109IpLen:20DgmLen:29FragOffset:0x1FFEFragSize:0x904D304D20009000061........a從上面的結(jié)果可以看出:分片標(biāo)志位MF=0,說明是最后一個(gè)分片。偏移量為0x1FFE,計(jì)算重組后的長度為(0x1FFE8)29=6554965535,溢出。IP包的ID為1109,可以作為IDS檢測的一個(gè)特征。ICMP包:

6、類型為8、代碼為0,是EchoRequest;校驗(yàn)和為0x0000,程序沒有計(jì)算校驗(yàn),所以確切的說這個(gè)ICMP包是非法的。UDP包:目的端口由用戶在命令參數(shù)中指定;源端口是目的端口和1235進(jìn)行的結(jié)果;校驗(yàn)和為0x0000,和ICMP的一樣,沒有計(jì)算,非法的UDP。凈荷部分只有一個(gè)字符a。jolt2.c應(yīng)該可以偽造源IP地址,但是源程序中并沒有把用戶試圖偽裝的IP地址賦值給src_addr,不知道作者是不是故意的。jolt2的影響相當(dāng)大

7、,通過不停的發(fā)送這個(gè)偏移量很大的數(shù)據(jù)包,不僅死鎖未打補(bǔ)丁的Windows系統(tǒng),同時(shí)也大大增加了網(wǎng)絡(luò)流量。曾經(jīng)有人利用jolt2模擬網(wǎng)絡(luò)流量,測試IDS在高負(fù)載流量下的攻擊檢測效率,就是利用這個(gè)特性。5.tear===========tear也比較簡單,默認(rèn)發(fā)送兩個(gè)UDP數(shù)據(jù)包,就能使某些Linux內(nèi)核崩潰。Snt抓取的結(jié)果如下:第一個(gè):010811:42:21.985853192.168.0.9192.168.0.1UDPTTL:64T

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論