网络协议攻击之一:基于IP分片的off path 攻击

最新推荐文章于 2024-12-25 13:33:37 发布
原创 最新推荐文章于 2024-12-25 13:33:37 发布 · 3.6k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了基于IP分片的off path攻击,包括DoS攻击(Fragment cache overflow、Fragment miss association)和报文拦截/修改策略。通过伪造分片报文,攻击者能在不直接截获或修改报文的情况下,实现数据包的拦截与篡改。对策包括避免分片、使用不可预测的IP-ID以及部署IP报文伪造的预防措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >



注:本文是阅读相关文献的笔记

这里描述的攻击模式都是offpath模式,攻击者只能伪造报文,没有直接截获或则修改报文的权限,可以发现,即使只能伪造,也能够达到截获的目的。


IP分片的特征


  1. 每个IP分片的目的IP、源IP、传输层协议类型、IP-ID组成一个四元组:接收端根据这个四元组识别出同一个报文的分片,并组装为一个完整的报文。按照协议要求,一个完整报文对应的四元组必须是唯一的

  2. 各个不同实现对IP-ID的生成有不同的方式:

    1. 采用全局的counter,每发送一个报文,IP-ID+1 (windows的模式)

    2. 采用per-destination  counter,对该destination,每发送一个报文,该destinationIP-ID+1(linux的模式)

  3. IP分片的执行

    1. IPV4,除非发送者指定了DF标志为1IP传输路径上的各个路由器,都可能执行分片;

    2. IPV6,只有发送方可以执行分片

  4. IP分片和上层协议

最低0.47元/天 解锁文章

200万优质内容无限畅学
常见IP碎片攻击详解
ZCatLinux --资讯与技术社区--Open Source World----Linux/Shell/DevOPS--
08-30 2125
本文简单介绍了IP分片原理,并结合Snort抓包结果详细分析常见IP碎片攻击的原理和特征, 最后对阻止IP碎片攻击给出一些建议。希望对加深理解IP协议和一些DoS攻击手段有所帮助。 1. 为什么存在IP碎片 -=-=-=-=-=-=-=-=-=-=-= 链路层具有最大传输单元MTU这个特性,它限制了数据帧的最大长度,不同的网络类型都有一 个上限值。以太网的MTU是1500,你可以用 netstat
linux网络协议栈源码分析 - 网络层IP网际协议
arm7star的博客
08-10 1889
linux网络协议栈源码分析 - 网络层IP网际协议
Off-Path TCP Exploits: Global Rate Limit Considered Dangerous
04-30
Off-Path TCP Exploits: Global Rate Limit Considered Dangerous
IP分片IP fragment attack)
sally2021的专栏
08-28 5113
所谓Tiny fragment攻击是指通过恶意操作,发送极小的分片来绕过包过滤系统或者入侵检测系统的一种攻击手段。攻击者通过恶意操作,可将TCP报头(通常为20字节)分布在2个分片中,这样一来,目的端口号可以包含在第二个分片中。  对于包过滤设备或者入侵检测系统来说,首先通过判断目的端口号来采取允许/禁止措施。但是由于通过恶意分片使目的端口号位于第二个分片中,因此包过滤设备通过判断第一个分片,决定
网络攻击2——针对TCP/IP各个协议层的攻击
m0_49864110的博客
11-12 5885
报文的长度字段为16位,即IP报文的最大长度为65535 B,死亡平Ping利用一些长度超大的ICMP报文对系统进行攻击。把报文的源地址和目标地址都设置成某一个受害者的IP地址(源是127网段地址,目的地址是服务器地址),这将导致受害者向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,伪造一个源地址(可以是真实的源地址,也可以是虚假的源地址)的SYN报文大量发给受害者,受害者收到后回应SYN ACK报文,但是受害者不会再收到ACK报文,这就导致受害主机保持了大量的半连接。
IP fragment是什么意思?如何防御IP fragment攻击
最新发布
u011029104的专栏
12-25 155
如果路由器、防火墙等中间设备对这些分片报文进行重组后在匹配其安全策略,那么又会对这些中间设备的资源带来极大的消耗,特别是在遇到分片攻击的时候,这些中间设备会在第一时间内消耗完其所有内存资源,从而导致全网中断的严重后果。黑客构造的分片报文,但是不向接收方发送最后一个分片报文,导致接收方要为所有的分片报文分配内存空间,可由于最后一个分片报文永远不会达到,接收方的内存得不到及时的释放(接收方会启动一个分片重组的定时器,在一定时间内如果无法完成重组,将向发送方发送。
网络子系统51_ip协议报文分片
奔跑的Linerdx的专栏
10-11 1943
//ip分片 // 快速路径的条件: // 1.skb // 1.skb的数据长度(主缓存区+frags缓存区)小于输出路径的mtu // 2.skb的数据长度对齐到8字节的边界 // 3.skb不是一个片段 // 4.skb没有被共享 // 2.skb->frag_list // 1.长度小于(mtu-ip报头-选项) // 2.除最后一个分片外,长度都需要对齐到8字
linux内核 快速分片,linux内核学习笔记------ip报文的分片
weixin_39844525的博客
05-01 748
对网络比较熟悉的童鞋都知道,当发送的ip报文长度超出了最大的传输单位MTU,且允许分片的情况下,就会对ip报文进行分片。在上层要发送数据时就会调用dst_output,dst_output就会调用ip_output,而ip_output就会调用ip_finish_output,在ip_finish_output把数据发送出去之前就会判断该报文是否进行分片。static int ip_finish_...
IP分片笔记
ljq32的专栏
12-21 570
1。ip分片的结构体组织形式 先记录以下特殊的字段: (1)skb_buff的cb字段 char cb[48],是一个自定义字段,在协议各层处理时,可以存储各协议的私有数据,就是随便自己定义,在ip分片时存储的是struct inet_skb_parm *,该结构体嵌套两个数据:ip选项 struct ip_options opt; 和 标识字段flags。 (2)skb_buff结构...
CIP或者EtherNET/IP中的PATH是什么含义?
qq_42039294的博客
09-28 1164
最近在学习EtherNET/IPPATH不太明白,翻了翻规范,在这里记个笔记。
linux声明变量为ip,关于Linux的IP配置以及PATH变量设置
weixin_42401338的博客
05-06 406
准备在主机上用SecureCRT连接虚拟机,在虚拟机里用ifconfig查看了一下,竟然提示command not find。肯定是没有将路径添加到PATH中,用whereis ifconfig查看了一下,发现这个命令在/sbin目录下。vi /etc/profile,在export那句的下面添加了如下语句:PATH=$PATH:/sbinPATH即是指系统的PATH环境变量,而$代表取变量的值,...
关于Linux的IP配置以及PATH变量设置
weixin_34218579的博客
10-13 251
准备在主机上用SecureCRT连接虚拟机,在虚拟机里用ifconfig查看了一下,竟然提示command not find。肯定是没有将路径添加到PATH中,用whereis ifconfig查看了一下,发现这个命令在/sbin目录下。vi /etc/profile,在export那句的下面添加了如下语句: PATH=$PATH:/sbin PATH即是指系统的PATH...
IP包的分片和重组——路由器的分片攻击
the_fire的技术博客
10-16 8499
      这是IP数据包格式相关的东西。      首先来看一下IP数据包的格式: 关于其中的一个名词大家可以去网上查,这里只是相应的介绍关于分片的部分。      就是在数据传送时,如果说数据的长度大于设定的MTU长度的话,路由器就要将其进行相应的分片操作,(关于具体的如何分片,以及如何重组可以自己查相关资料)以便让其通过路由进行传送。如下图所示,一个具有4000字节的
linux ip路由不可达原理,Linux系统IP路由的工作原理
weixin_42348371的博客
05-12 229
也许你知道如何在Linux系统上用命令netstat或route来查找(甚至是增加/删除)已经存在的路由。但是在你做这些操作的时候你可能并不知道IP路由是如何工作的。本文将帮助你理解IP路由的原理,以及它是如何工作的。IP路由涉及到IP数据报文的转发。如果主机与目的主机直接相连,那么主机可以直接发送IP报文到目的主机,这个过程比较简单。例如,通过点对点的链接或通过网络共享。如果主机与目的主机没有直...
分片IP报文攻击
金溪的博客
10-20 4144
为了传送一个大的IP报文,IP协议栈需要根据链路接口的MTU对该IP报文进行分片,通过填充适当的IP头中的分片指示字段,接收计算机可以很容易的把这些IP分片报文组装起来。   目标计算机在处理这些分片报文的时候,会把先到的分片报文缓存起来,然后一直等待后续的分片报文,这个过程会消耗掉一部分内存,以及一些IP协议栈的数据结构。如果攻击者给目标计算机只发送一片分片报文,而不发送所有的分片报文,这样攻...
tcp假连接_跟坚哥学QUIC系列:连接迁移(Connection Migration)
weixin_39915505的博客
12-04 1164
当代人的日常生活中,手机网络连接会经常在 Wi-Fi 和 蜂窝网络(Cellular)中进行切换。比如:早上从家里出门,连接从 Wi-Fi 变为 cellular;到喜欢的餐厅吃早餐,手机自动连接餐厅的 Wi-Fi;从餐厅到公司,连接又经历了 Wi-Fi -> cellular -> Wi-Fi 的过程。如果我们正在看短视频或者直播,网络在切换的过程出现中断,这无疑是非常影响体验的。日...
黑客是怎么通过IP地址攻击的?
2401_84466336的博客
04-24 3109
黑客攻击手段可分为和两类。一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。下面为大家介绍4种黑客常用的攻击手段。
凭据传递攻击(Path The Hash)
痴人说梦梦中人
01-29 3924
一、PTH简介        哈希传递攻击是基于NTLM认证的一种攻击方式。哈希传递攻击的利用前提是我们获得了某个用户的密码哈希值,但是解不开明文。这时我们可以利用NTLM认证的一种缺陷,利用用户的密码哈希值来进行NTLM认证。在域环境中,大量计算机在安装时会使用相同的本地管理员账号和密码。因此,如果计算机的本地管理员账号密码相同,攻击者就能使用哈希传递攻击登录内网中的其他机器。 二、ColbaltStrike实现PTH 获取hash
scapy构造IP分片
dangdanding的专栏
06-12 2051
scapy构造IP分片
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值