网络协议攻击之一:基于IP分片的off path 攻击

本文详细介绍了基于IP分片的off path攻击,包括DoS攻击(Fragment cache overflow、Fragment miss association)和报文拦截/修改策略。通过伪造分片报文,攻击者能在不直接截获或修改报文的情况下,实现数据包的拦截与篡改。对策包括避免分片、使用不可预测的IP-ID以及部署IP报文伪造的预防措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >



注:本文是阅读相关文献的笔记

这里描述的攻击模式都是offpath模式,攻击者只能伪造报文,没有直接截获或则修改报文的权限,可以发现,即使只能伪造,也能够达到截获的目的。


IP分片的特征


  1. 每个IP分片的目的IP、源IP、传输层协议类型、IP-ID组成一个四元组:接收端根据这个四元组识别出同一个报文的分片,并组装为一个完整的报文。按照协议要求,一个完整报文对应的四元组必须是唯一的

  2. 各个不同实现对IP-ID的生成有不同的方式:

    1. 采用全局的counter,每发送一个报文,IP-ID+1 (windows的模式)

    2. 采用per-destination  counter,对该destination,每发送一个报文,该destinationIP-ID+1(linux的模式)

  3. IP分片的执行

    1. IPV4,除非发送者指定了DF标志为1IP传输路径上的各个路由器,都可能执行分片;

    2. IPV6,只有发送方可以执行分片

  4. IP分片和上层协议

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值