下载安卓APP箭头
箭头给我发消息

客服QQ:3315713922

带你认识Teardrop攻击

作者:课课家教育     来源: http://www.kokojia.com点击数:7665发布时间: 2019-02-27 09:11:28

标签: Teardrop拒绝服务攻击网络攻击IP

  大家应该都知道拒绝服务攻击的吧?它的攻击方法有很多,比如有smurf flood、synflood、ping of death、Teardrop等,在这里,小编就来带你认识一下Teardrop攻击,学一下它的原理等方面的知识。

  Teardrop攻击也就是我们中文里的泪滴攻击,这是一个特殊构造的应用程序,通过发送伪造的相互重叠的IP分组数据包,使其难以被接收主机重新组合。他们通常会导致目标主机内核失措。

  Teardrop攻击利用IP包的分段/重组技术在系统实现中的一个错误,即在组装IP包时只检查了每段数据是否过长,而没有检查包中有效数据的长度是否过小。当包中数据长度为负时,由于memcpy()中的计数器是一个反码,负数表示一个非常大的数值。因为IP包重组和缓冲区通常处于系统核心态,缓冲区溢出将使系统崩苦苦。攻击者可以通过发送两段(或者更多)数据包来实现Teardrop攻击。实现攻击的数据包中,第一个包的偏移量为0,长度为N,第二个包的偏移量小于N。为了合并这些数据段,TCP/IP堆栈会分配超乎寻常的巨大资源,从而造成系统资源的缺乏,甚至机器重新启动。

      Teardrop的攻击原理是:攻击者A给受害者B发送一些分片IP报文,并且故意将“13位分片偏移”字段设置成错误的值(既可与上一分片数据重叠,也可错开),B在组合这种含有重叠偏移的伪造分片报文时,会导致系统崩溃。如下图所示:

带你认识Teardrop攻击_Teardrop_拒绝服务攻击_网络攻击_IP_课课家 

   当对一台机器发动泪滴攻击时,该机器就会崩溃或重启。 (在Windows机器上,用户可能会遇到蓝屏死机)。 如果你正确防御了Winnuke和SSping的 DoS攻击,但仍然发生崩溃,那么极有可能受到泪滴攻击或LAND攻击。

  检测方法对接收到的分片数据包进行分析,计算数据包的片偏移量(Offset)是否有误。

  反攻击方法:添加系统补丁程序,丢弃收到的病态分片数据包并对这种攻击进行审计。尽可能采用最新的操作系统,或者在防火墙上设置分段重组功能,由防火墙先接收到同一原包中的所有拆分数据包,然后完成重组工作,而不是直接转发。因为防火墙上可以设置当出现重叠字段时所采用的规则。

  Teardrop防御方法:网络安全设备将接收到的分片报文先放入缓存中,并根据源IP地址和目的IP地址对报文进行分组,源IP地址和目的IP地址均相同的报文归入同一组,然后对每组IP报文的相关分片信息进行检查,丢弃分片信息存在错误的报文。为了防止缓存益处,当缓存快要存满是,直接丢弃后续分片报文。

  Teardrop攻击算不上是一个严重的DOS攻击,因为它不会对主机系统造成重大的损失,但这不代表我们不重视它,要知道星星之火也可以燎原呢。在这里我们对它的原理进行了分析,因此也为防御Teardrop攻击想出了办法。相信通过上面的内容大家也都学到知识了吧?如果有什么疑问的话可以留言个给小编哦。

赞(20)
踩(1)
分享到:
华为认证网络工程师 HCIE直播课视频教程