在线免费观看爆操精品视频,情感的禁区日本在线观看免费,日韩av啊啊啊在线观看

標題: IP分片原理 [打印本頁]

作者: 51黑tt 時間: 2016-3-6 00:01
標題: IP分片原理
1. 為什么存在IP碎片
-=-=-=-=-=-=-=-=-=-=-=
鏈路層具有最大傳輸單元MTU這個特性，它限制了數(shù)據(jù)幀的最大長度，不同的網(wǎng)絡(luò)類型都有一個上限值。以太網(wǎng)的MTU是1500，你可以用 netstat -i 命令查看這個值。如果IP層有數(shù)據(jù)包要傳，而且數(shù)據(jù)包的長度超過了MTU，那么IP層就要對數(shù)據(jù)包進行分片（fragmentation）操作，使每一片的長度都小于或等于MTU。我們假設(shè)要傳輸一個UDP數(shù)據(jù)包，以太網(wǎng)的MTU為1500字節(jié)，一般IP首部為20字節(jié)，UDP首部為8字節(jié)，數(shù)據(jù)的凈荷（payload）部分預(yù)留是1500-20-8=1472字節(jié)。如果數(shù)據(jù)部分大于1472字節(jié)，就會出現(xiàn)分片現(xiàn)象。

IP首部包含了分片和重組所需的信息：

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Identification |R|DF|MF| Fragment Offset |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|<-------------16-------------->|<--3-->|<---------13---------->|

Identification：發(fā)送端發(fā)送的IP數(shù)據(jù)包標識字段都是一個唯一值，該值在分片時被復(fù)制到每個片中。
R：保留未用。
DF：Dont Fragment，“不分片”位，如果將這一比特置1 ，IP層將不對數(shù)據(jù)報進行分片。
MF：More Fragment，“更多的片”，除了最后一片外，其他每個組成數(shù)據(jù)報的片都要把該比特置1。
Fragment Offset：該片偏移原始數(shù)據(jù)包開始處的位置。偏移的字節(jié)數(shù)是該值乘以8。

另外，當(dāng)數(shù)據(jù)報被分片后，每個片的總長度值要改為該片的長度值。

每一IP分片都各自路由，到達目的主機后在IP層重組，請放心，首部中的數(shù)據(jù)能夠正確完成分片的重組。你不禁要問，既然分片可以被重組，那么所謂的碎片攻擊是如何產(chǎn)生的呢？

2. IP碎片攻擊
-=-=-=-=-=-=-=-=-=-=-=
IP首部有兩個字節(jié)表示整個IP數(shù)據(jù)包的長度，所以IP數(shù)據(jù)包最長只能為0xFFFF，就是65535字節(jié)。如果有意發(fā)送總長度超過65535的IP碎片，一些老的系統(tǒng)內(nèi)核在處理的時候就會出現(xiàn)問題，導(dǎo)致崩潰或者拒絕服務(wù)。另外，如果分片之間偏移量經(jīng)過精心構(gòu)造，一些系統(tǒng)就無法處理，導(dǎo)致死機。所以說，漏洞的起因是出在重組算法上。下面我們逐個分析一些著名的碎片攻擊程序，來了解如何人為制造IP碎片來攻擊系統(tǒng)。

3. ping o death
-=-=-=-=-=-=-=-=-=-=-=
ping o death是利用ICMP協(xié)議的一種碎片攻擊。攻擊者發(fā)送一個長度超過65535的Echo Request數(shù)據(jù)包，目標主機在重組分片的時候會造成事先分配的65535字節(jié)緩沖區(qū)溢出，系統(tǒng)通常會崩潰或掛起。ping不就是發(fā)送ICMP Echo Request數(shù)據(jù)包的嗎？讓我們嘗試攻擊一下吧！不管IP和ICMP首部長度了，數(shù)據(jù)長度反正是多多益善，就65535吧，發(fā)送一個包：

# ping -c 1 -s 65535 192.168.0.1
Error: packet size 65535 is too large. Maximum is 65507

不走運，看來Linux自帶的ping不允許我們做壞事。:(

65507是它計算好的：65535-20-8=65507。Win2K下的ping更摳門，數(shù)據(jù)只允許65500大小。所以你必須找另外的程序來發(fā)包，但是目前新版本的操作系統(tǒng)已經(jīng)搞定這個缺陷了，所以你還是繼續(xù)往下閱讀本文吧。

順便提一下，記得99年有“愛國主義黑客”（“紅客”的前輩）發(fā)動全國網(wǎng)民在某一時刻開始ping某美國站點，試圖ping死遠程服務(wù)器。這其實是一種ping flood攻擊，用大量的Echo Request包減慢主機的響應(yīng)速度和阻塞目標網(wǎng)絡(luò)，原理和ping o death是不一樣的，這點要分清楚。

4. jolt2
-=-=-=-=-=-=-=-=-=-=-=
jolt2.c是在一個死循環(huán)中不停的發(fā)送一個ICMP/UDP的IP碎片，可以使Windows系統(tǒng)的機器死鎖。我測試了沒打SP的Windows 2000，CPU利用率會立即上升到100%，鼠標無法移動。

我們用Snort分別抓取采用ICMP和UDP協(xié)議發(fā)送的數(shù)據(jù)包。

發(fā)送的ICMP包：
01/07-15:33:26.974096 192.168.0.9 -> 192.168.0.1
ICMP TTL:255 TOS:0x0 ID:1109 IpLen:20 DgmLen:29
Frag Offset: 0x1FFE Frag Size: 0x9
08 00 00 00 00 00 00 00 00 .........

發(fā)送的UDP包：
01/10-14:21:00.298282 192.168.0.9 -> 192.168.0.1
UDP TTL:255 TOS:0x0 ID:1109 IpLen:20 DgmLen:29
Frag Offset: 0x1FFE Frag Size: 0x9
04 D3 04 D2 00 09 00 00 61 ........a

從上面的結(jié)果可以看出：
* 分片標志位MF=0，說明是最后一個分片。
* 偏移量為0x1FFE，計算重組后的長度為 (0x1FFE * 8) + 29 = 65549 > 65535，溢出。
* IP包的ID為1109，可以作為IDS檢測的一個特征。
* ICMP包：
類型為8、代碼為0，是Echo Request；
校驗和為0x0000，程序沒有計算校驗，所以確切的說這個ICMP包是非法的。
* UDP包：
目的端口由用戶在命令參數(shù)中指定；
源端口是目的端口和1235進行OR的結(jié)果；
校驗和為0x0000，和ICMP的一樣，沒有計算，非法的UDP。
凈荷部分只有一個字符a。

jolt2.c應(yīng)該可以偽造源IP地址，但是源程序中并沒有把用戶試圖偽裝的IP地址賦值給src_addr，不知道作者是不是故意的。

jolt2的影響相當(dāng)大，通過不停的發(fā)送這個偏移量很大的數(shù)據(jù)包，不僅死鎖未打補丁的Windows系統(tǒng)，同時也大大增加了網(wǎng)絡(luò)流量。曾經(jīng)有人利用jolt2模擬網(wǎng)絡(luò)流量，測試IDS在高負載流量下的攻擊檢測效率，就是利用這個特性。

5. teardrop
-=-=-=-=-=-=-=-=-=-=-=
teardrop也比較簡單，默認發(fā)送兩個UDP數(shù)據(jù)包，就能使某些Linux內(nèi)核崩潰。Snort抓取的結(jié)果如下：

第一個：
01/08-11:42:21.985853 192.168.0.9 -> 192.168.0.1
UDP TTL:64 TOS:0x0 ID:242 IpLen:20 DgmLen:56 MF
Frag Offset: 0x0 Frag Size: 0x24
A0 A8 86 C7 00 24 00 00 00 00 00 00 00 00 00 00 .....$..........
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00 00 00 00 ....

* MF=1，偏移量=0，分片IP包的第一個。
* 結(jié)構(gòu)圖：

|<-------20-------->|<------8------>|<---------------28---------------->|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| IP | UDP | Data |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

第二個：
01/08-11:42:21.985853 192.168.0.9 -> 192.168.0.1
UDP TTL:64 TOS:0x0 ID:242 IpLen:20 DgmLen:24
Frag Offset: 0x3 Frag Size: 0x4
A0 A8 86 C7 ....

* MF=0，偏移量=0x3，偏移字節(jié)數(shù)為 0x3 * 8 = 24，最后一個分片。
* 結(jié)構(gòu)圖：

|<-------20-------->|<--4-->|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| IP | Data |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

如果修改源代碼，第二片IP包的偏移量也可以為0x4，偏移字節(jié)數(shù)就是 0x4 * 8 = 32。

下面的結(jié)構(gòu)圖表示了接收端重組分片的過程，分別對應(yīng)于偏移字節(jié)數(shù)為24和32兩種情況：

|<-------20-------->|<------8------>|<---------------28---------------->|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| IP | UDP | Data |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
| +-+-+-+-+
|<------------- 24 ------------->| Data |
| +-+-+-+-+
|<--4-->|

|
| +-+-+-+-+
|<------------------- 32 ------------------>| Data |
| +-+-+-+-+
|<--4-->|

可以看出，第二片IP包的偏移量小于第一片結(jié)束的位移，而且算上第二片IP包的Data，也未超過第一片的尾部，這就是重疊現(xiàn)象（overlap）。老的Linux內(nèi)核（1.x - 2.0.x）在處理這種重疊分片的時候存在問題，WinNT/95在接收到10至50個teardrop分片時也會崩潰。你可以閱讀teardrop.c的源代碼來了解如何構(gòu)造并發(fā)送這種數(shù)據(jù)包。

6. 如何阻止IP碎片攻擊
-=-=-=-=-=-=-=-=-=-=-=
* Windows系統(tǒng)請打上最新的Service Pack，目前的Linux內(nèi)核已經(jīng)不受影響。
* 如果可能，在網(wǎng)絡(luò)邊界上禁止碎片包通過，或者用iptables限制每秒通過碎片包的數(shù)目。
* 如果防火墻有重組碎片的功能，請確保自身的算法沒有問題，否則被DoS就會影響整個網(wǎng)絡(luò)。
* Win2K系統(tǒng)中，自定義IP安全策略，設(shè)置“碎片檢查”。

歡迎光臨 (http://www.torrancerestoration.com/bbs/)