Entry № 620
IP 分片攻击
IP 分片攻击 是什么?
IP 分片攻击一类滥用 IP 分片(重叠、过小、过大等)的网络攻击,用于使主机崩溃、绕过 IDS/IPS 或造成拒绝服务。
IP 分片攻击利用网络协议栈对超过 MTU 的 IP 包的重组逻辑。变种包括 Teardrop(重叠分片导致有缺陷的重组代码崩溃)、Tiny Fragment(将 L4 头部跨分片切分以绕过包过滤)、Bonk、Jolt(超长或零偏移分片),以及针对 IPv6 扩展头的分片攻击。如今多用于 IDS/IPS 绕过——将恶意载荷拆分,使签名引擎无法看到完整内容——或通过分片缓存进行放大型 DoS。防御措施:及时打补丁,边界防火墙在可行时丢弃非首分片,使用具备重组能力的 IPS 进行流量归一化,在不必要时关闭 IPv6 分片。
● 示例
- 01
经典 Teardrop 攻击通过重叠 IP 分片使老版 Windows 主机崩溃。
- 02
tiny fragment 绕过将带有恶意选项的 TCP SYN 拆成两段,以躲避简单 ACL。
● 常见问题
IP 分片攻击 是什么?
一类滥用 IP 分片(重叠、过小、过大等)的网络攻击,用于使主机崩溃、绕过 IDS/IPS 或造成拒绝服务。 它属于网络安全的 攻击与威胁 分类。
IP 分片攻击 是什么意思?
一类滥用 IP 分片(重叠、过小、过大等)的网络攻击,用于使主机崩溃、绕过 IDS/IPS 或造成拒绝服务。
如何防御 IP 分片攻击?
针对 IP 分片攻击 的防御通常结合技术控制与运营实践,详见上方完整定义。
IP 分片攻击 还有哪些其他名称?
常见的别称包括: Teardrop 攻击, Tiny fragment 攻击, 分片绕过。