IP碎片原理：攻击和防护 - wpjamer - 博客园
为了加深理解IP协议和一些DoS攻击手段大家有必要看看以下内容,也许对你理解这个概念有所帮助.先来看看IP碎片是如何产生的吧。
&&&&&&一.IP碎片是如何产生的
&&&&& 链路层具有最大传输单元MTU这个特性，它限制了数据帧的最大长度，不同的网络类型都有一个上限值。以太网的MTU是1500，你可以用 netstat -i 命令查看这个值。如果IP层有数据包要传，而且数据包的长度超过了MTU，那么IP层就要对数据包进行分片(fragmentation)操作，使每一片的长度都小于或等于MTU。我们假设要传输一个UDP数据包，以太网的MTU为1500字节，一般IP首部为20字节，UDP首部为8字节，数据的净荷（payload）部分预留是=1472字节。如果数据部分大于1472字节，就会出现分片现象。&&&&&& IP首部包含了分片和重组所需的信息：&
&&&&& | Identification |R|DF|MF| Fragment Offset |&&&&&& |&-16&|&3&|&-13&|&&&&& 参数解释:&&&&& Identification：发送端发送的IP数据包标识字段都是一个唯一值，该值在分片时被复制到每个片中。&&&&&& R：保留未用。&&&&& DF：Dont Fragment，&不分片&位，如果将这一比特置1 ，IP层将不对数据报进行分片。&&&&&& MF：More Fragment，&更多的分片&，除了最后一片外，其他每个组成数据报的片都要把该比特置为1。&&&&&& Fragment Offset：该片偏移原始数据包开始处的位置。偏移的字节数是该值乘以8。&&&&&& 了解了分片,也分析了IP头的一些信息,让我们看看IP碎片是怎样运用在网络攻击上的。
&&&&&&二. IP碎片攻击
&&&&& IP首部有两个字节表示整个IP数据包的长度，所以IP数据包最长只能为0xFFFF，就是65535字节。如果有意发送总长度超过65535 的IP碎片，一些老的系统内核在处理的时候就会出现问题，导致崩溃或者拒绝服务。另外，如果分片之间偏移量经过精心构造，一些系统就无法处理，导致死机。所以说，漏洞的起因是出在重组算法上。下面我们逐个分析一些著名的碎片攻击程序，来了解如何人为制造IP碎片来攻击系统。
&&&&& 1. 攻击方式之ping o death
&&&&& ping o death是利用ICMP协议的一种碎片攻击。攻击者发送一个长度超过65535的Echo Request数据包，目标主机在重组分片的时候会造成事先分配的65535字节缓冲区溢出，系统通常会崩溃或挂起。ping不就是发送ICMP Echo Request数据包的吗？让我们尝试攻击一下吧！不管IP和ICMP首部长度了，数据长度反正是多多益善，就65535吧，发送一个包：
&&&&& # ping -c 1 -s 8.0.1&&&&&& Error: packet size 65535 is too large. Maximum is 65507&&&&&& 一般来说,Linux自带的ping是不允许我们做这个坏事的。&&&&& 65507是它计算好的：=65507。Win2K下的ping更抠门，数据只允许65500大小。所以你必须找另外的程序来发包，但是目前新版本的操作系统已经搞定这个缺陷了，所以你还是继续往下阅读本文吧。
&&&&& 2. 攻击方式之jolt2
&&&&& jolt2.c是在一个死循环中不停的发送一个ICMP/UDP的IP碎片，可以使Windows系统的机器死锁。我测试了没打SP的Windows&2000，CPU利用率会立即上升到100%，鼠标无法移动。
&&&&& 我们用Snort分别抓取采用ICMP和UDP协议发送的数据包。&&&&&& 发送的ICMP包：&&&&&& 01/07-15:33:26..168.0.9 -& 192.168.0.1&&&&&& ICMP TTL:255 TOS:0x0 ID:1109 IpLen:20 DgmLen:29&&&&&& Frag Offset: 0x1FFE Frag Size: 0x9&&&&&& 08 00 00 00 00 00 00 00 00 .........&&&&&& 发送的UDP包：&&&&&& 01/10-14:21:00..168.0.9 -& 192.168.0.1&&&&&& UDP TTL:255 TOS:0x0 ID:1109 IpLen:20 DgmLen:29&&&&&& Frag Offset: 0x1FFE Frag Size: 0x9&&&&&& 04 D3 04 D2 00 09 00 00 61 ........a
&&&& 从上面的结果可以看出：
&&&& 分片标志位MF=0，说明是最后一个分片。&&&& 偏移量为0x1FFE，计算重组后的长度为 (0x1FFE * 8) + 29 = 65549 & 65535，溢出。&&&& IP包的ID为1109，可以作为IDS检测的一个特征。&&&& ICMP包：&&&& 类型为8、代码为0，是Echo Request；&&&& 校验和为0x0000，程序没有计算校验，所以确切的说这个ICMP包是非法的。&&&& UDP包：&&&& 目的端口由用户在命令参数中指定；&&&& 源端口是目的端口和1235进行OR的结果；&&&& 校验和为0x0000，和ICMP的一样，没有计算，非法的UDP。&&&& 净荷部分只有一个字符a。&&&& jolt2.c应该可以伪造源IP地址，但是源程序中并没有把用户试图伪装的IP地址赋值给src_addr，不知道作者是不是故意的。&&&& jolt2的影响相当大，通过不停的发送这个偏移量很大的数据包，不仅死锁未打补丁的Windows系统，同时也大大增加了网络流量。曾经有人利用jolt2模拟网络流量，测试IDS在高负载流量下的攻击检测效率，就是利用这个特性。&&&&&&&&&&三. 如何阻止IP碎片攻击
&&&& Windows系统请打上最新的Service Pack，目前的Linux内核已经不受影响。如果可能，在网络边界上禁止碎片包通过，或者用iptables限制每秒通过碎片包的数目。如果防火墙有重组碎片的功能，请确保自身的算法没有问题，否则被DoS就会影响整个网络。Win2K系统中，自定义IP安全策略，设置&碎片检查&。
&&&& 在很多路由上也有" IP 碎片(Fragment) 攻击防御"的设置,网络规模在150台左右,建议IP碎片值设置在:3000包/秒,在海蜘蛛路由上测试过,如果 IP碎片值设置过小有些私服游戏网站打不开。技术文章-网络攻击与防御-ZJ_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
技术文章-网络攻击与防御-ZJ
上传于||文档简介
&&技​术​文​章​-​网​络​攻​击​与​防​御​-​Z​J
阅读已结束，如果下载本文需要使用1下载券
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，查找使用更方便
还剩4页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢当前位置&&&&&&&&&安全之防火墙概念与访问控制列表
更多文章查询：&
安全之防火墙概念与访问控制列表
&&&&&&&日10：56&&来源：&&
【文章摘要】个人认识防火墙分软件防火墙与硬件防火墙。 就软件防火墙而言又分网络防火墙与病毒防火墙，这之中还有手机防火墙。我们常用到的软件防火墙品牌包括瑞星，冰盾等。 就硬件防火墙我这里就引用点现成的东西，以便说明硬件防火墙在网络中的使用。　
　　个人认识防火墙分软件防火墙与硬件防火墙。 就软件防火墙而言又分网络防火墙与病毒防火墙，这之中还有手机防火墙。我们常用到的软件防火墙品牌包括瑞星，冰盾等。 就硬件防火墙我这里就引用点现成的东西，以便说明硬件防火墙在网络中的使用。　　首先为什么要研究安全? 　　什么是“计算机安全”？广义地讲，安全是指防止其他人利用、借助你的计算机或外围设备，做你不希望他们做的任何事情。首要问题是：“我们力图保护的是些什么资源？”答案并不是明确的.通常，对这个问题的答案是采取必要的主机专用措施。　　许多人都抱怨Windows漏洞太多，有的人甚至为这一个又一个的漏洞烦恼。为此，本文简要的向您介绍怎样才能架起网络安全防线。　　禁用没用的服务　　Windows提供了许许多多的服务，其实有许多我们是根本也用不上的。或许你还不知道，有些服务正为居心叵测的人开启后门。　　Windows还有许多服务，在此不做过多地介绍。大家可以根据自己实际情况禁止某些服务。禁用不必要的服务，除了可以减少安全隐患，还可以增加Windows运行速度，何乐而不为呢？　　打补丁　　Microsoft公司时不时就会在网上免费提供一些补丁，有时间可以去打打补丁。除了可以增强兼容性外，更重要的是堵上已发现的安全漏洞。建议有能力的朋友可以根据自己的实际情况根据情况打适合自己补丁。　　防火墙　　选择一款彻底隔离病毒的办法,物理隔离 Fortigate能够预防十多种黑客攻击，　　分布式服务拒绝攻击DDOS（Distributed Denial-Of-Service attacks）※SYN Attack※ICMP Flood※UDP Flood　　IP碎片攻击（IP Fragmentation attacks）※Ping of Death attack※Tear Drop attack※Land attack　　端口扫描攻击（Port Scan Attacks）　　IP源路由攻击（IP Source Attacks）IP Spoofing AttacksAddress Sweep AttacksWinNuke Attacks 您可以配置Fortigate在受到攻击时发送警告邮件给管理员，最多可以指定3个邮件接受人。　　防火墙的根本手段是隔离，安装防火墙后必须对其进行必要的设置和时刻日志跟踪。这样才能发挥其最大的威力。而我们这里主要讲述防火墙概念以及与访问控制列表的联系。这里我综合了网上有关防火墙，访问控制表的定义。　　防火墙概念　　防火墙包含着一对矛盾(或称机制)：一方面它限制数据流通，另一方面它又允许数据流通。由于网络的管理机制及安全策略(security policy)不同，因此这对矛盾呈现出不同的表现形式。　　存在两种极端的情形：第一种是除了非允许不可的都被禁止，第二种是除了非禁止不可都被允许。第一种的特点是安全但不好用，第二种是好用但不安全，而多数防火墙都在两者之间采取折衷。　　在确保防火墙安全或比较安全前提下提高访问效率是当前防火墙技术研究和实现的热点。　　保护脆弱的服务　　通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。例如，Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。
热门推荐：
责任编辑：彭凡
&关于&防火墙 瑞星&相关报道
&硅谷动力最新热点
loading...
频道热文排行
经典软件下载
往期精彩文章
网站合作、内容监督、商务咨询、投诉建议：010-
Copyright © 2000--
硅谷动力公司版权所有 京ICP证000088号　　DoS&(Denial&of&Service)攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。　　Dos攻击的方法很多，但它们都具有一些共同的典型特征，例如：使用欺骗的源地址、使用网络协议的缺陷、使用操作系统或软件的漏洞、在网络上产生大量的无用数据包消耗服务资源等。因此，要防御dos攻击，就必须从这些攻击的特征入手，分析其特征，制定合适的策略和方法。　　Smurf攻击的特征描述　　Smurf攻击是根据它的攻击程序命名的，是一种ICMP&echo&flooding攻击。　　在这样的攻击中，ping包中包含的欺骗源地址指向的主机是最终的受害者，也是主要的受害者；而路由器连接的广播网段成为了攻击的帮凶（类似一个放大器，使网络流量迅速增大），也是受害者。　　防御Smurf攻击的方法　　根据Smurf攻击的特征，可以从两个方面入手来防御Smurf的攻击：一是防止自己的网络成为攻击的帮凶即第一受害者&；二是从最终受害者的角度来防御Smurf攻击。下面就从这两个方面来讨论防御的的测路和方法。　　防御DoS攻击一、拒绝成为攻击的帮凶　　Smurf要利用一个网络作为流量放大器，该网络必定具备以下特征：　　1、路由器允许有IP源地址欺骗的数据包通过&；　　2、路由器将定向广播（发送到广播地址的数据包）转换成为第二层（MAC层）的广播并向连接网段广播&；　　3、广播网络上的主机允许对ping广播作出回应&；　　4、路由器对主机回应的ping数据流量未做限制&；　　所以，可以根据以上四点来重新规划网络，以使自己的网络不具备会成为流量放大器的条件&。　　防御DoS攻击防止IP源地址欺骗　　IP源地址欺骗可以应用在多种不同的攻击方式中，例如：TCP&SYN&flooding、UDP&flooding、ICMP&flooding等。　　伪造的源地址可以是不存在（不允许在公网上发布）的地址，或者是最终攻击目标的地址。　　在UDP&flooding中，攻击者则是通过连接目标系统的changen端口到伪造源地址指向的主机的echo端口，导致changen端口产生大量的随机字符到echo端口，而echo端口又将接收到的字符返回，最后导致两个系统都因耗尽资源而崩溃。　　注意：为了防御UDP&flooding，我们必须防止路由器的诊断端口或服务向管理域之外的区域开放，如果不需要使用这些端口或者服务，应该将其关闭。　　防止IP源地址欺骗的最有效方法就是验证源地址的真实性，在Cisco路由器上，我们可以采用下列两种方法：　　防御DoS攻击a、在网络边界实施对IP源地址欺骗的过滤　　阻止IP源地址欺骗的一个最简单有效的方法是通过在边界路由器使用向内的访问列表，限制下游网络发进来的数据包确实是在允许接受的地址范围，不在允许范围的数据将被删除。同时，为了追溯攻击者，可以使用log记录被删除的数据信息&。　　防御DoS攻击b、使用反向地址发送　　使用访问控制列表在下游入口处做ip限制，是基于下游ip地址段的确定性&。但在上游入口处，流入数据的ip地址范围有时是难于确定的。在无法确定过滤范围时，一个可行的方法是使用反向地址发送（Unicast&Reverse&Path&Forwarding）。　　反向地址发送是Cisco路由器的新版IOS提供的一项特性，简称uRPF。　　uRPF的工作原理是：当路由器在一个接口上收到一个数据包时，它会查找CEF（Cisco&Express&Forward）表，验证是否存在从该接收接口到包中指定的源地址之间的路由，即反向查找路径，验证其真实性，如果不存在这样的路径就将数据包删除。　　相比访问控制列表，uRPF具有很多优点，例如：耗费CPU资源少、可以适应路由器路由表的动态变化（因为CEF表会跟随路由表的动态变化而更新），所以维护量更少，对路由器的性能影响较小。　　uRPF是基于接口配置的，配置命令如下：　　(config)#&ip&cef　　(config-if)#&ip&verify&unicast&reverse-path　　注意：uRPF的实施，CEF必须是全局打开，并在配置接口上也是启用的。　　防御DoS攻击禁止定向广播　　在Smurf攻击中，攻击者将ping数据包发向一个网络的广播地址，例如：192.168.1.255。大多数情况下，路由器在接收到该广播包之后，默认会将这个第三层广播转换成第二层广播，即将192.168.1.255转换成为以太网的FF:FF:FF:FF:FF:FF&。而该广播网段上的所有以太网接口卡在接收到这个第二层广播之后，就会向主机系统发出中断请求，并对这个广播作出回应，从而消耗了主机资源，并且做出的回应可能造成对源地址所指目标的攻击。　　所以，在绝大多数情况下，应该在边界路由器上禁止定向广播，使用以下接口命令禁止　　(config)#&no&ip&directed-broadcast　　注：在绝大部分情况下，是不需要使用路由器的定向广播功能的，会使用定向广播的特例也有，例如，如果一台SMB或者NT服务器需要让一个远程的LAN能够看到自己，就必须向这个LAN发送定向广播，但对于这种应用可以通过使用WINS服务器解决。　　禁止主机对ping广播作出反应　　当前绝大部分的操作系统都可以通过特别的设置，使主机系统对于ICMP&ECHO广播不做出回应。　　通过阻止放大器网络上的主机对ICMP&ECHO（ping）广播做出回应，可以阻止该广播网络成为攻击的帮凶。　　限制icmp&echo的流量　　当大量的数据涌入一个接口的时候，即使使用了访问策略对ICMP包进行了删除，接口还是可能会因为忙于不断删除大量数据而导致接口不能提供正常服务。　　与被动的删除数据相比，一个主动的方法是，在接口上设置承诺速率限制(committed&access&rate，简称CAR)，将特定数据的流量限制在一个范围之内，允许其适量的通过，同时保证了其它流量的正常通过。　　例：使用CAR限制ICMP&echo&flooding　　!建立访问列表，分类要过滤的数据　　access-list&102&permit&icmp&any&any&echo　　access-list&102&permit&icmp&any&any&echo-reply　　!在接口上配置CAR，将ICMP&echo流量　　!限制在256k，允许突发8k　　interface&Serial3/0/0　　rate-limit&input&access-group&102&0&8000&conform-action&transmit&exceed-action&drop
声明：该文章系网友上传分享，此内容仅代表网友个人经验或观点，不代表本网站立场和观点；若未进行原创声明，则表明该文章系转载自互联网；若该文章内容涉嫌侵权，请及时向
论文写作技巧
上一篇：下一篇：
相关经验教程