所谓Tiny fragment攻击是指通过恶意操作,发送极小的分片来绕过包过滤系统或者入侵检
测系统的一种攻击手段。
攻击者通过恶意操作,可将TCP报头(通常为20字节)分布在2个分片中,这样一来,目的端
口号可以包含在第二个分片中。
对于包过滤设备或者入侵检测系统来说,首先通过判断目的端口号来采取允许/禁止措施。
但是由于通过恶意分片使目的端口号位于第二个分片中,因此包过滤设备通过判断第一个分片,
决定后续的分片是否允许通过。但是这些分片在目标主机上进行重组之后将形成各种攻击。通过
这种方法可以迂回一些入侵检测系统及一些安全过滤系统。
IP分片的理解
IP协议在传输数据包时,将数据报文分为若干分片进行传输,并在目标系统中进行重组。这一过程称为分片( fragmentation)。 IP 分片(Fragmentation)发生在要传输的IP报文大小超过最大传输单位MTU(Maximum Transmission Unit)的情况。比如说,在以太网(Ethernet)环境中可传输最大IP报文大小(MTU)为1500字节。如果要传输的报文大小超过1500字节,则需要分片之后进行传输。由此可以看出,IP分片在网络环境中是经常发生的事件。但是,如果经过人为的恶意操作的分片,将会导致拒绝服务攻击或者迂回路由器、防火墙或者网络入侵检测系统(NIDS)的一种攻击手段。
为到达目标主机之后能够正常重组,各分片报文具有如下信息:
* 各IP分片基于IP分片识别号进行重组,识别号相同的重组为相同的IP报文。IP分片识别号长度为16位,叫做“IP identification number”或者“fragment ID”。
* 各分片具有从原始报文进行分片之前的分片偏移量以确定其位置。
* 各分片具有分片数据长度,其中20字节IP包头不包含在该数据长度中。即,传输1500字节的数据时,实际数据长度为1480(1500-20)字节。
* 当每个分片之后还存在后续的分片时,该分片的ME(More Fragment)标志位为1。 |
