Атака на IP-фрагментацию
Что такое Атака на IP-фрагментацию?
Атака на IP-фрагментациюСемейство сетевых атак, использующих фрагментацию IP — перекрывающиеся, слишком маленькие или слишком большие фрагменты — для сбоя хостов, обхода IDS/IPS или отказа в обслуживании.
Атаки на IP-фрагментацию используют поведение стека при сборке пакетов, превышающих MTU. Варианты: Teardrop (перекрывающиеся фрагменты, ломающие ошибочный код сборки), Tiny Fragment (заголовки L4, разбитые между фрагментами для обхода фильтров), Bonk и Jolt (фрагменты со слишком большим размером или нулевым смещением), а также атаки на IPv6-фрагментацию через extension-заголовки. Современная цель чаще всего — обход IDS/IPS (разбить вредоносный пейлоад так, чтобы сигнатуры не увидели его целиком) или усиленный DoS через кеши фрагментов. Защита: своевременные патчи ОС, отбрасывание нестартовых фрагментов на периметре, нормализация трафика реассемблирующим IPS, отключение IPv6-фрагментации, где она не нужна.
● Примеры
- 01
Классический Teardrop с перекрывающимися IP-фрагментами, обрушивавший старые Windows-хосты.
- 02
Tiny-fragment обход, делящий TCP-SYN с вредоносными опциями на два фрагмента для обхода простого ACL.
● Частые вопросы
Что такое Атака на IP-фрагментацию?
Семейство сетевых атак, использующих фрагментацию IP — перекрывающиеся, слишком маленькие или слишком большие фрагменты — для сбоя хостов, обхода IDS/IPS или отказа в обслуживании. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Атака на IP-фрагментацию?
Семейство сетевых атак, использующих фрагментацию IP — перекрывающиеся, слишком маленькие или слишком большие фрагменты — для сбоя хостов, обхода IDS/IPS или отказа в обслуживании.
Как работает Атака на IP-фрагментацию?
Атаки на IP-фрагментацию используют поведение стека при сборке пакетов, превышающих MTU. Варианты: Teardrop (перекрывающиеся фрагменты, ломающие ошибочный код сборки), Tiny Fragment (заголовки L4, разбитые между фрагментами для обхода фильтров), Bonk и Jolt (фрагменты со слишком большим размером или нулевым смещением), а также атаки на IPv6-фрагментацию через extension-заголовки. Современная цель чаще всего — обход IDS/IPS (разбить вредоносный пейлоад так, чтобы сигнатуры не увидели его целиком) или усиленный DoS через кеши фрагментов. Защита: своевременные патчи ОС, отбрасывание нестартовых фрагментов на периметре, нормализация трафика реассемблирующим IPS, отключение IPv6-фрагментации, где она не нужна.
Как защититься от Атака на IP-фрагментацию?
Защита от Атака на IP-фрагментацию обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Атака на IP-фрагментацию?
Распространённые альтернативные названия: Атака Teardrop, Атака tiny fragment, Обход через фрагментацию.
● Связанные термины
- attacks№ 1135
Инъекция TCP Reset
Атака с подделкой сегментов TCP RST, соответствующих текущему соединению, заставляющая стороны резко закрыть его и тем самым разрывающая или похищающая сессию.
- attacks№ 865
Прослушивающий режим
Режим сетевого интерфейса, в котором сетевая карта передаёт ОС все увиденные кадры, позволяя пассивно перехватывать трафик в общем или зеркальном сегменте.
- attacks№ 1060
Атака Smurf
Историческая DDoS-атака с амплификацией: ICMP echo на широковещательный адрес сети с подменой источника на IP жертвы вынуждает все хосты сети отвечать жертве.
- attacks№ 329
Распределённая атака отказа в обслуживании (DDoS)
Атака отказа в обслуживании, проводимая одновременно с большого количества распределённых источников — обычно ботнета — для перегрузки канала, инфраструктуры или приложения жертвы.
- attacks№ 1122
SYN-флуд
TCP-атака отказа в обслуживании: множество SYN-пакетов без завершения трёхстороннего рукопожатия исчерпывает ресурсы под состояния соединений на сервере.