首頁/科技/正文

令人眼淚掉落——Teardrop攻擊技術

由 中科院之聲 發表于 科技2021-12-24

一、小白劇場

小白:大東,你快來看這個新聞。

大東:來了來了,我瞧一眼。

小白:這個淚滴攻擊怎麼從來沒聽說過?

令人眼淚掉落——Teardrop攻擊技術

眼淚(圖片來自網路)

大東:這個算是子類攻擊了,你大概沒有了解過。

小白:那你給我講講唄。

二、基於UDP

大東:淚滴攻擊又叫Teardrop攻擊,是一種畸形報文攻擊。

小白:那就是拒絕式服務攻擊的一類了。

令人眼淚掉落——Teardrop攻擊技術

Teardrop攻擊(圖片來自網路)

大東:Teardrop攻擊是基於UDP的病態分片資料包的攻擊方法。

小白:工作原理是什麼呢?

大東:向被攻擊者傳送多個分片的IP包。

令人眼淚掉落——Teardrop攻擊技術

Teardrop攻擊工作原理(圖片來自網路)

小白:包括該分片資料包屬於哪個資料包,以及在資料包中的位置等資訊嗎?

大東:是的,甚至某些作業系統收到含有重疊偏移的偽造分片資料包時將會出現系統崩潰、重啟等現象。利用UDP包重組時重疊偏移,假設資料包中第二片IP包的偏移量小於第一片結束的位移,而且算上第二片IP包的Data,也未超過第一片的尾部,這就是重疊現象。

小白:也就是說攻擊者A給受害者B傳送一些分片IP報文,並且故意將“13位分片偏移”欄位設定成錯誤的值(既可與上一分片資料重疊,也可錯開),B在組合這種含有重疊偏移的偽造分片報文時,某些作業系統收到含有重疊偏移的偽造分片資料包時將會出現系統崩潰、重啟等現象。

大東:你理解的沒錯。漏洞對系統主機發動拒絕服務攻擊,最終導致主機菪掉;對於Windows系統會導致藍色畫面宕機,並顯示STOP 0x0000000A錯誤。

小白:如何應用這項技術?

三、TCP/IP協議

大東:TCP/IP協議在資料傳輸過程中,對過大的資料會進行分包處理,傳輸到目的主機後再到堆疊中進行重組。為實現重組,IP包的包頭中包含有資訊說明該分段是源資料的哪一段。

小白:如果傳送偽造的含有重疊偏移資訊的分段包到目標主機呢?

大東:當被攻擊主機試圖將分段包重組時,由於分段資料的錯誤,重組過程會引起記憶體錯誤,導致協議棧的崩潰。

小白:也就是說這類攻擊技術,會有很大的資源佔用?

大東:IP資料包在網路傳遞時,資料包可以分成更小的片段。攻擊者可以透過傳送兩段或者更多資料包來實現TearDrop攻擊。第一個包的偏移量為0,長度為N,第二個包的偏移量小於N。為了合併這些資料段,TCP/IP堆疊會分配超乎尋常的巨大資源,從而造成系統資源的缺乏甚至機器的重新啟動。

小白:TearDrop攻擊利用在TCP/IP協議棧實現中信任IP碎片中的包的標題頭所包含的資訊來實現自己的攻擊。

四、Offset

大東:IP分段含有指示該分段所包含的是原包的哪一段的資訊,某些TCP/IP協議棧(例如NT在service pack4以前)在收到含有重疊偏移的偽造分段時將崩潰。

小白:綜合來說還是利用了TCP/IP協議的缺陷造成。

大東:最有效的方法就是在伺服器前端加防火牆,過濾不安全的包。比如我利用HillStone防火牆保護後端安全,在防火牆中開啟TearDrop攻擊防護。

小白:就沒有什麼檢測方法嗎?

大東:對接收到的分片資料包進行分析,計算資料包的片偏移量(Offset)是否有誤。

小白:還有嗎?

大東:還有一種反攻擊方法。新增系統補丁程式,丟棄收到的病態分片資料包並對這種攻擊進行審計。儘可能採用最新的作業系統,或者在防火牆上設定分段重組功能,由防火牆先接收到同一原包中的所有拆分資料包,然後完成重組工作,而不是直接轉發。

小白:是因為防火牆上可以設定當出現重疊欄位時所採用的規則嗎?

大東:你說的沒錯。

小白:就沒有什麼可以防禦的有效方法嗎?

五、有效防禦

大東:有的,網路安全裝置將接收到的分片報文先放入快取中,並根據源IP地址和目的IP地址對報文進行分組,源IP地址和目的IP地址均相同的報文歸入同一組,然後對每組IP報文的相關分片資訊進行檢查,丟棄分片資訊存在錯誤的報文。為了防止快取益處,當快取快要存滿是,直接丟棄後續分片報文。

參考文獻:

1。 百度百科:Teardrop攻擊

https://baike。baidu。com/item/Teardrop%E6%94%BB%E5%87%BB/5957505?fr=aladdin

2。 簡書:什麼是Teardrop攻擊?我們要如何防禦Teardrop攻擊?

https://www。jianshu。com/p/3ac57cfb3743

3。 中培:淚滴攻擊(Teardrop)

4。 ROOTOP 伺服器運維與WEB架構:淚滴攻擊(teardrop)及防禦方法

https://www。rootop。org/pages/1272。html

5。 百度百科:眼淚

https://baike。baidu。com/pic/%E7%9C%BC%E6%B3%AA/32279/0/e78c65898555ba8c0f2444e0?fr=lemma&ct=single#aid=0&pic=e78c65898555ba8c0f2444e0

6。 快快網路:什麼是Teardrop攻擊

http://www。kkidc。com/index。php/helpcenter/detail/hcid/157/id/357。html

TAG:IP資料包分片攻擊小白