IP分片(IP fragment attack)

最新推荐文章于 2025-01-09 17:59:00 发布
原创 最新推荐文章于 2025-01-09 17:59:00 发布 · 5.1k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#路由器 #防火墙 #网络 #tcp

Tinyfragment攻击通过发送极小的分片来绕过包过滤系统或入侵检测系统。攻击者利用恶意分片技术,将TCP报头分布在两个分片中,使目的端口信息位于第二个分片,以此规避安全系统的检测。

所谓Tiny fragment攻击是指通过恶意操作,发送极小的分片来绕过包过滤系统或者入侵检测系统的一种攻击手段。攻击者通过恶意操作,可将TCP报头(通常为20字节)分布在2个分片中,这样一来,目的端口号可以包含在第二个分片中。

  对于包过滤设备或者入侵检测系统来说,首先通过判断目的端口号来采取允许/禁止措施。但是由于通过恶意分片使目的端口号位于第二个分片中,因此包过滤设备通过判断第一个分片,决定后续的分片是否允许通过。但是这些分片在目标主机上进行重组之后将形成各种攻击。通过这种方法可以迂回一些入侵检测系统及一些安全过滤系统。

IP分片的理解

IP协议在传输数据包时,将数据报文分为若干分片进行传输,并在目标系统中进行重组。这一过程称为分片( fragmentation)。 IP 分片(Fragmentation)发生在要传输的IP报文大小超过最大传输单位MTU(Maximum Transmission Unit)的情况。比如说,在以太网(Ethernet)环境中可传输最大IP报文大小(MTU)为1500字节。如果要传输的报文大小超过1500字节,则需要分片之后进行传输。由此可以看出,IP分片在网络环境中是经常发生的事件。但是,如果经过人为的恶意操作的分片,将会导致拒绝服务攻击或者迂回路由器、防火墙或者网络入侵检测系统(NIDS)的一种攻击手段。

为到达目标主机之后能够正常重组,各分片报文具有如下信息:

* 各IP分片基于IP分片识别号进行重组,识别号相同的重组为相同的IP报文。IP分片识别号长度为16位,叫做“IP identification number”或者“fragment ID”。

* 各分片具有从原始报文进行分片之前的分片偏移量以确定其位置。

* 各分片具有分片数据长度,其中20字节IP包头不包含在该数据长度中。即,传输1500字节的数据时,实际数据长度为1480(1500-20)字节。

* 当每个分片之后还存在后续的分片时,该分片的ME(More Fragment)标志位为1。

 

sally2021
关注
IP分片攻击实战模拟
2302_76629181的博客
04-03 1498
虚拟环境进行Dos(拒绝服务攻击)——— IP分片攻击实操
网测科技_IPV4报文分片攻击测试案例
Netitest的博客
11-13 450
IPV4报文分片攻击测试案例
1.说明ipv4报文格式以及每个字段的作用2.描述跨网段数据帧转发过程3.实现ip报文分片4.实现arp代理实验5.描述常见的ARP攻击与防范方式
2301_76871571的博客
03-16 2637
1.说明ipv4报文格式以及每个字段的作用2.描述跨网段数据帧转发过程3.实现ip报文分片4.实现arp代理实验5.描述常见的ARP攻击与防范方式
常见IP碎片攻击详解
ZCatLinux --资讯与技术社区--Open Source World----Linux/Shell/DevOPS--
08-30 2185
本文简单介绍了IP分片原理,并结合Snort抓包结果详细分析常见IP碎片攻击的原理和特征, 最后对阻止IP碎片攻击给出一些建议。希望对加深理解IP协议和一些DoS攻击手段有所帮助。 1. 为什么存在IP碎片 -=-=-=-=-=-=-=-=-=-=-= 链路层具有最大传输单元MTU这个特性,它限制了数据帧的最大长度,不同的网络类型都有一 个上限值。以太网的MTU是1500,你可以用 netstat
IP分片攻击
叫我小虎就行了的博客
01-09 654
IP分片攻击
IP Fragment攻击原理
路与肥的博客
04-29 2379
IP Fragment攻击原理
ip 分片tcp分片差异
与狼共舞 的专栏
06-27 1381
准确的说:TCP分片应该称为TCP分段.——————————————————————————————————————————————————————区别:1.IP分片产生的原因是网络层的MTU;TCP分段产生原因是MSS.2.IP分片网络层完成,也在网络层进行重组;TCP分段是在传输层完成,并在传输层进行重组.   //透明性3.对于以太网,MSS为1460字节,而MUT往往
边缘计算威胁狩猎:检测MEC节点中的异常TCP分片重组
随后转入IP分片机制的分析,介绍了最大传输单元(MTU)与最大段长度(MSS)的概念,以及IP头部中用于分片控制的字段,如标识符(Identification)、标志位(Flags)和片偏移(Fragment Offset)。文档指出,在网络...
【HCIE-R&S 天梯路】安全
LC的博客
08-30 732
安全 绑定表 【绑定表】: IP - MAC - G - vlan 绑定 静态绑定表user-bind static xxx display dhcp static user-bind all 【IP-MAC-VLAN-G】 动态绑定表通过DHCP Snooping生成 ...
static int ip_rcv_finish_core(struct net *net, struct sock *sk, struct sk_buff *skb, struct net_device *dev) { const struct iphdr *iph = ip_hdr(skb); int err, drop_reason; struct rtable *rt; drop_reason = SKB_DROP_REASON_NOT_SPECIFIED; if (READ_ONCE(net->ipv4.sysctl_ip_early_demux) && !skb_dst(skb) && !skb->sk && !ip_is_fragment(iph)) { switch (iph->protocol) { case IPPROTO_TCP: if (READ_ONCE(net->ipv4.sysctl_tcp_early_demux)) { tcp_v4_early_demux(skb); /* must reload iph, skb->head might have changed */ iph = ip_hdr(skb); } break; case IPPROTO_UDP: if (READ_ONCE(net->ipv4.sysctl_udp_early_demux)) { err = udp_v4_early_demux(skb); if (unlikely(err)) goto drop_error; /* must reload iph, skb->head might have changed */ iph = ip_hdr(skb); } break; } } /* * Initialise the virtual path cache for the packet. It describes * how the packet travels inside Linux networking. */ if (!skb_valid_dst(skb)) { err = ip_route_input_noref(skb, iph->daddr, iph->saddr, iph->tos, dev); if (unlikely(err)) goto drop_error; } #ifdef CONFIG_IP_ROUTE_CLASSID if (unlikely(skb_dst(skb)->tclassid)) { struct ip_rt_acct *st = this_cpu_ptr(ip_rt_acct); u32 idx = skb_dst(skb)->tclassid; st[idx&0xFF].o_packets++; st[idx&0xFF].o_bytes += skb->len; st[(idx>>16)&0xFF].i_packets++; st[(idx>>16)&0xFF].i_bytes += skb->len; } #endif if (iph->ihl > 5 && ip_rcv_options(skb, dev)) goto drop; rt = skb_rtable(skb); if (rt->rt_type == RTN_MULTICAST) { __IP_UPD_PO_STATS(net, IPSTATS_MIB_INMCAST, skb->len); } else if (rt->rt_type == RTN_BROADCAST) { __IP_UPD_PO_STATS(net, IPSTATS_MIB_INBCAST, skb->len); } else if (skb->pkt_type == PACKET_BROADCAST || skb->pkt_type == PACKET_MULTICAST) { struct in_device *in_dev = __in_dev_get_rcu(dev); /* RFC 1122 3.3.6: * * When a host sends a datagram to a link-layer broadcast * address, the IP destination address MUST be a legal IP * broadcast or IP multicast address. * * A host SHOULD silently discard a datagram that is received * via a link-layer broadcast (see Section 2.4) but does not * specify an IP multicast or broadcast destination address. * * This doesn't explicitly say L2 *broadcast*, but broadcast is * in a way a form of multicast and the most common use case for * this is 802.11 protecting against cross-station spoofing (the * so-called "hole-196" attack) so do it for both. */ if (in_dev && IN_DEV_ORCONF(in_dev, DROP_UNICAST_IN_L2_MULTICAST)) { drop_reason = SKB_DROP_REASON_UNICAST_IN_L2_MULTICAST; goto drop; } } return NET_RX_SUCCESS; drop: kfree_skb_reason(skb, drop_reason); return NET_RX_DROP; drop_error: if (err == -EXDEV) { drop_reason = SKB_DROP_REASON_IP_RPFILTER; __NET_INC_STATS(net, LINUX_MIB_IPRPFILTER); } goto drop; }
最新发布
07-04
- 如果启用了 `sysctl_ip_early_demux` 并且没有设置 dst、没有 socket 绑定、不是分片包: - 对 TCP 调用 `tcp_v4_early_demux()`; - 对 UDP 调用 `udp_v4_early_demux()`; - 目的是提前将数据包定向到正确的 ...
TCP_IP协议揭秘】
![【TCP_IP协议揭秘】](https://img-blog.csdnimg.cn/direct/17013a887cfa48069d39d8c4f3e19194.png) ...# 1. TCP/IP协议族概述 ...TCP/IP协议族最初源于美国国防部资助的ARPANET项目,随着时间的推移,它逐
IP fragment是什么意思?如何防御IP fragment攻击
我是飞飞啊,不一定温柔,但一定自由
08-14 1155
IP fragment是什么意思?如何防御IP fragment攻击?一、什么是IP fragment?二、分片带来的问题1、 分片带来的性能消耗2、分片丢包导致的重传问题3、分片攻击4、安全隐患三、如何预防Ip-fragment攻击呢? 一、什么是IP fragmentIP报文中,与报文分片有关的几个字段是:DF(Don’t Fragmentate)位、MF 位,Fragment Offset、Length。DF和MF就是前面提到3位标识位中的第二和第三位,Fragment Offset就是“13位分
IP分片(IP Fragment)
weixin_33921089的博客
07-06 3478
为什么要分片        不同的链路类型能够支持的最大传输单元值(MTU: Maxitum Transmission Unit)主要是由相关RFC文档规定的,常见的以太网链路的MTU值为1500,如果需要转发的IP报文超出其转发接口的MTU值,则在转发该报文之前,需要将其分片,分为多个适合于该链路类型传输的报文,这些分片报文在到达接收方的时候,由接收方完成重组。        各种常见链路类型的...
TCP/IP 协议难点之一—— IP分片
weixin_30823833的博客
06-26 1180
1 IP协议简单介绍 就个人而言,网络中,抛开网络安全加密这些,就只单单讨论协议本身,比较难的有三个地方: IP分片与重组 TCP滑动窗口与TCP状态的改变 TCP定时器 其实协议本身根据《TCP/IP详解卷1》理解起来并不难,但是实现起来就很难:数据的操作,标志位的设置,网络状态的变换,中断多线程通讯等等; 在下图的七层网络协议参考模型中,IP层属于网络层,网络层...
IP Fragmentation(IP分片)
weixin_33767813的博客
04-26 1222
https://www.cisco.com/c/en/us/tech/ip/index.html IP协议在传输数据包时,将数据报文分为若干分片进行传输,并在目标系统中进行重组,这一过程称为分片(Fragmentation)IP分片(Fragmentation)发生在要传输的IP报文大小超过最大传输单位MTU(Maximum Transmission Unit)的情况。比如说,在以太网(Eth...
IP包的分片和重组——路由器分片攻击
the_fire的技术博客
10-16 8530
      这是IP数据包格式相关的东西。      首先来看一下IP数据包的格式: 关于其中的一个名词大家可以去网上查,这里只是相应的介绍关于分片的部分。      就是在数据传送时,如果说数据的长度大于设定的MTU长度的话,路由器就要将其进行相应的分片操作,(关于具体的如何分片,以及如何重组可以自己查相关资料)以便让其通过路由进行传送。如下图所示,一个具有4000字节的
IP协议的学习笔记_01 ---IP分片
deyanjian2951的博客
03-17 188
IP报文格式: 先来分析报文段的意义: 0-3bit:代表版本号 IPV4则为4,IPV6则为6 4-7bit:代表首部长度,由此我们可以知道4bit最大代表10进制数据为15,单位为4字节,则IP首部最长为60字节,但是现实生活中一般采用的首部长度为固定首部长度,即20字节 8-15bit:代表服务类型,现在基本都是0x00(也有少数...
ip分片重组攻击
weixin_30532369的博客
05-17 1176
插入攻击 插入攻击分别向IDS和目标设备发送数据表,这些数据包将被IDS接受却会被目标设备拒绝。 逃避攻击 攻击者发送分组数据包的第一个分片段给IDS,IDS的分组时限是15秒,而目标系统的分组时限为30秒。攻击者只要等15-30秒后再发送第二个分组片段。当第二个片段进入网络后,IDS将丢弃该片段,因为第一个分片段的时限参数已经触发IDS进行分组丢弃,而当第二个片段到达目标设备时,由于目标设...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值