本文详细介绍了基于IP分片的off path攻击,包括DoS攻击(Fragment cache overflow、Fragment miss association)和报文拦截/修改策略。通过伪造分片报文,攻击者能在不直接截获或修改报文的情况下,实现数据包的拦截与篡改。对策包括避免分片、使用不可预测的IP-ID以及部署IP报文伪造的预防措施。
注:本文是阅读相关文献的笔记
这里描述的攻击模式都是offpath模式,攻击者只能伪造报文,没有直接截获或则修改报文的权限,可以发现,即使只能伪造,也能够达到截获的目的。
IP分片的特征
-
每个IP分片的目的IP、源IP、传输层协议类型、IP-ID组成一个四元组:接收端根据这个四元组识别出同一个报文的分片,并组装为一个完整的报文。按照协议要求,一个完整报文对应的四元组必须是唯一的
-
各个不同实现对IP-ID的生成有不同的方式:
-
采用全局的counter,每发送一个报文,IP-ID+1 (windows的模式)
-
采用per-destination counter,对该destination,每发送一个报文,该destination的IP-ID+1(linux的模式)
-
-
IP分片的执行
-
对IPV4,除非发送者指定了DF标志为1,IP传输路径上的各个路由器,都可能执行分片;
-
对IPV6,只有发送方可以执行分片
-
-
IP分片和上层协议
最低0.47元/天 解锁文章
扫一扫
2125
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
