一、小白剧场
小白:大东,你快来看这个新闻。
大东:来了来了,我瞧一眼。
小白:这个泪滴攻击怎么从来没听说过?
大东:这个算是子类攻击了,你大概没有了解过。
小白:那你给我讲讲呗。
二、基于UDP
大东:泪滴攻击又叫Teardrop攻击,是一种畸形报文攻击。
小白:那就是拒绝式服务攻击的一类了。
大东:Teardrop攻击是基于UDP的病态分片数据包的攻击方法。
小白:工作原理是什么呢?
大东:向被攻击者发送多个分片的IP包。
小白:包括该分片数据包属于哪个数据包,以及在数据包中的位置等信息吗?
大东:是的,甚至某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。
三、TCP/IP协议
大东:TCP/IP协议在数据传输过程中,对过大的数据会进行分包处理,传输到目的主机后再到堆栈中进行重组。
小白:如果发送伪造的含有重叠偏移信息的分段包到目标主机呢?
大东:当被攻击主机试图将分段包重组时,由于分段数据的错误,重组过程会引起内存错误,导致协议栈的崩溃。
四、Offset
大东:IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP协议栈在收到含有重叠偏移的伪造分段时将崩溃。
小白:综合来说还是利用了TCP/IP协议的缺陷造成。
大东:最有效的方法就是在服务器前端加防火墙,过滤不安全的包。
小白:就没有什么检测方法吗?
大东:对接收到的分片数据包进行分析,计算数据包的片偏移量(Offset)是否有误。
小白:还有吗?
大东:还有一种反攻击方法。添加系统补丁程序,丢弃收到的病态分片数据包并对这种攻击进行审计。
五、有效防御
大东:有的,网络安全设备将接收到的分片报文先放入缓存中,并根据源IP地址和目的IP地址对报文进行分组,源IP地址和目的IP地址均相同的报文归入同一组,然后对每组IP报文的相关分片信息进行检查,丢弃分片信息存在错误的报文。