版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、常見(jiàn)IP碎片攻擊詳解作者Sinbad原作者姓名Sinbad正文本文簡(jiǎn)單介紹了IP分片原理,并結(jié)合Snt抓包結(jié)果詳細(xì)分析常見(jiàn)IP碎片攻擊的原理和特征,最后對(duì)阻止IP碎片攻擊給出一些建議。希望對(duì)加深理解IP協(xié)議和一些DoS攻擊手段有所幫助。1.為什么存在IP碎片===========鏈路層具有最大傳輸單元MTU這個(gè)特性,它限制了數(shù)據(jù)幀的最大長(zhǎng)度,不同的網(wǎng)絡(luò)類(lèi)型都有一個(gè)上限值。以太網(wǎng)的MTU是1500,你可以用stati命令查看這個(gè)值。如果I
2、P層有數(shù)據(jù)包要傳,而且數(shù)據(jù)包的長(zhǎng)度超過(guò)了MTU,那么IP層就要對(duì)數(shù)據(jù)包進(jìn)行分片(fragmentation)操作,使每一片的長(zhǎng)度都小于或等于MTU。我們假設(shè)要傳輸一個(gè)UDP數(shù)據(jù)包,以太網(wǎng)的MTU為1500字節(jié),一般IP首部為20字節(jié),UDP首部為8字節(jié),數(shù)據(jù)的凈荷(payload)部分預(yù)留是1500208=1472字節(jié)。如果數(shù)據(jù)部分大于1472字節(jié),就會(huì)出現(xiàn)分片現(xiàn)象。IP首部包含了分片和重組所需的信息:|Identification|R
3、|DF|MF|FragmentOffset|||||Identification:發(fā)送端發(fā)送的IP數(shù)據(jù)包標(biāo)識(shí)字段都是一個(gè)唯一值,該值在分片時(shí)被復(fù)制到每個(gè)片中。R:保留未用。DF:DontFragment,“不分片”位,如果將這一比特置1,IP層將不對(duì)數(shù)據(jù)報(bào)進(jìn)行分片。MF:MeFragment,“更多的片”,除了最后一片外,其他每個(gè)組成數(shù)據(jù)報(bào)的片都要把比特置1。FragmentOffset:該片偏移原始數(shù)據(jù)包開(kāi)始處的位置。偏移的字節(jié)數(shù)是該
4、值乘以8。另外,當(dāng)數(shù)據(jù)報(bào)被分片后,每個(gè)片的總長(zhǎng)度值要改為該片的長(zhǎng)度值。每一IP分片都各自路由,到達(dá)目的主機(jī)后在IP層重組,請(qǐng)放心,首部中的數(shù)據(jù)能夠正確完成分片的重組。你不禁要問(wèn),既然分片可以被重組,那么所謂的碎片攻擊是如何產(chǎn)生的呢?2.IP碎片攻擊===========IP首部有兩個(gè)字節(jié)表示整個(gè)IP數(shù)據(jù)包的長(zhǎng)度,所以IP數(shù)據(jù)包最長(zhǎng)只能為0xFFFF,就是65535字發(fā)送的UDP包:011014:21:00.298282192.168.0
5、.9192.168.0.1UDPTTL:255TOS:0x0ID:1109IpLen:20DgmLen:29FragOffset:0x1FFEFragSize:0x904D304D20009000061........a從上面的結(jié)果可以看出:分片標(biāo)志位MF=0,說(shuō)明是最后一個(gè)分片。偏移量為0x1FFE,計(jì)算重組后的長(zhǎng)度為(0x1FFE8)29=6554965535,溢出。IP包的ID為1109,可以作為IDS檢測(cè)的一個(gè)特征。ICMP包:
6、類(lèi)型為8、代碼為0,是EchoRequest;校驗(yàn)和為0x0000,程序沒(méi)有計(jì)算校驗(yàn),所以確切的說(shuō)這個(gè)ICMP包是非法的。UDP包:目的端口由用戶(hù)在命令參數(shù)中指定;源端口是目的端口和1235進(jìn)行的結(jié)果;校驗(yàn)和為0x0000,和ICMP的一樣,沒(méi)有計(jì)算,非法的UDP。凈荷部分只有一個(gè)字符a。jolt2.c應(yīng)該可以偽造源IP地址,但是源程序中并沒(méi)有把用戶(hù)試圖偽裝的IP地址賦值給src_addr,不知道作者是不是故意的。jolt2的影響相當(dāng)大
7、,通過(guò)不停的發(fā)送這個(gè)偏移量很大的數(shù)據(jù)包,不僅死鎖未打補(bǔ)丁的Windows系統(tǒng),同時(shí)也大大增加了網(wǎng)絡(luò)流量。曾經(jīng)有人利用jolt2模擬網(wǎng)絡(luò)流量,測(cè)試IDS在高負(fù)載流量下的攻擊檢測(cè)效率,就是利用這個(gè)特性。5.tear===========tear也比較簡(jiǎn)單,默認(rèn)發(fā)送兩個(gè)UDP數(shù)據(jù)包,就能使某些Linux內(nèi)核崩潰。Snt抓取的結(jié)果如下:第一個(gè):010811:42:21.985853192.168.0.9192.168.0.1UDPTTL:64T
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 安全芯片物理抗攻擊IP核設(shè)計(jì).pdf
- 協(xié)議分析-ip協(xié)議解碼詳解
- 網(wǎng)絡(luò)常見(jiàn)攻擊與防范研究.pdf
- 常見(jiàn)釀酒葡萄詳解
- 有效防止arp攻擊網(wǎng)關(guān)綁定ip和mac地址
- 廣聯(lián)達(dá)常見(jiàn)功能詳解
- ECC加密IP的優(yōu)化設(shè)計(jì)及其旁路攻擊研究.pdf
- IP網(wǎng)絡(luò)防攻擊技術(shù)的研究與硬件實(shí)現(xiàn).pdf
- AES加密IP的優(yōu)化設(shè)計(jì)及旁路攻擊研究.pdf
- 基于IP地址檢測(cè)的DDoS攻擊防御方法研究.pdf
- IP網(wǎng)絡(luò)中DoS攻擊源定位技術(shù)研究.pdf
- IP骨干網(wǎng)防DDoS攻擊策略部署的研究.pdf
- 常見(jiàn)石材干掛做法詳解
- ip路由詳解h3c經(jīng)典教程
- 信用證常見(jiàn)條款詳解
- 常見(jiàn)引流管的護(hù)理詳解
- 小兒常見(jiàn)病推拿詳解
- 常見(jiàn)腦腫瘤的影像診斷詳解
- 常見(jiàn)中毒的解救藥物詳解
- 基于IP地址相關(guān)性的DDoS攻擊檢測(cè)研究與實(shí)現(xiàn).pdf
評(píng)論
0/150
提交評(píng)論