处理报⽂_【⽹络⼲货】⽹络安全之分⽚报⽂攻击防范技术详 解
分⽚报⽂攻击是通过向⽬标设备发送分⽚出错的报⽂,使得⽬标设备在处理分⽚错误的报⽂时崩溃、重启或消耗⼤量的 CPU 资源,给⽬标设备带来损失。 分⽚报⽂攻击防范是指设备实时检测出分⽚报⽂并予以丢弃或者限速处理,实现对本设备的保护。 分⽚报⽂攻击主要分为以下⼏类:
mmdb1、分⽚数量巨⼤攻击
IP 报⽂中的偏移量是以 8 字节为单位的。正常情况下, IP 报⽂的头部有 20 个字节, IP 报⽂的最⼤载荷为 65515。
对这些数据进⾏分⽚,分⽚个数最⼤可以达到 8189 ⽚,对于超过 8189 的分⽚报⽂,设备在重组这些分⽚报⽂时会消耗⼤量的 CPU 资源。
启⽤分⽚报⽂攻击防范后,针对分⽚数量巨⼤攻击,如果同⼀报⽂的分⽚数⽬超过 8189 个,则设备认为是恶意报⽂,丢弃该报⽂的所有分⽚。
2、巨⼤ Offset 攻击
攻击者向⽬标设备发送⼀个 Offset 值超⼤的分⽚报⽂,从⽽导致⽬标设备分配巨⼤的内存空间来存放所有分⽚报⽂,消耗⼤量资源。
Offset 字段的最⼤取值为 65528,但是在正常情况下, Offset 值不会超过 8190(如果 offset=8189*8, IP 头部长度为 20,最后⼀⽚报⽂最多只有 3 个字节 IP 载荷,所以正常 Offset 的最⼤值是 8189),所以如果 Offset 值超过 8190,则这种报⽂即为恶意攻击报⽂,设备直接丢弃。
启⽤分⽚报⽂攻击防范后,设备在收到分⽚报⽂时判断 Offset*8 是否⼤于 65528,如果⼤于就当作恶意分⽚报⽂直接丢弃。起死回生术
收费公路管理条例
3、重复分⽚攻击
重复分⽚攻击就是把同样的分⽚报⽂多次向⽬标主机发送,存在两种情况:
多次发送的分⽚完全相同,这样会造成⽬标主机的 CPU 和内存使⽤不正常;
多次发送的分⽚报⽂不相同,但 Offset 相同,⽬标主机就会处于⽆法处理的状态:哪⼀个分⽚应该保留,哪⼀个分⽚应该丢弃,还是都丢弃。这样就会造成⽬标主机的 CPU 和内存使⽤不正常。
女夭
启⽤分⽚报⽂攻击防范后,对于重复分⽚类报⽂的攻击,设备实现对分⽚报⽂进⾏ CAR(Committed Access Rate)限速,保留⾸⽚,丢弃其余所有相同的重复分⽚,保证不对 CPU 造成攻击。
4、Tear Drop 攻击
Tear Drop 攻击是最著名的 IP 分⽚攻击,原理是 IP 分⽚错误,第⼆⽚包含在第⼀⽚之中。即数据包中第⼆⽚ IP包的偏移量⼩于第⼀⽚结束的位移,⽽且算上第⼆⽚ IP 包的 Data,也未超过第⼀⽚的尾部。
毛利人
Tear Drop 攻击会导致系统崩溃或重启。启⽤分⽚报⽂攻击防范后,对于 Tear Drop 攻击,设备会直接丢弃所有分⽚报⽂。Syndrop 攻击会导致系统崩溃或重启。启⽤分⽚报⽂攻击防范后,对于 Syndrop 攻击,设备会直接丢弃所有分⽚报⽂。NewTear 攻击会导致系统崩溃或重启。启⽤分⽚报⽂攻击防范后,对于 NewTear 攻击,设备会直接丢弃所有分⽚报⽂。Bonk 攻击会导致系统崩溃或重启。启⽤分⽚报⽂攻击防范后,对于 Bonk 攻击,设备会直接丢弃所有分⽚报⽂。Nesta 攻击会导致系统崩溃或重启。启⽤分⽚报⽂攻击防范后,对于 Nesta 攻击,设备会直接丢弃所有分⽚报⽂。Rose 攻击会导致系统崩溃或重启。启⽤分⽚报⽂攻击防范后,对于 Rose 攻击,设备会直接丢弃所有分⽚报⽂。
菅义伟为什么只有一年
Fawx 攻击会导致系统崩溃或重启。启⽤分⽚报⽂攻击防范后,对于 Fawx 攻击,设备会直接丢弃所有分⽚报⽂。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议