IP 分片攻击
IP 分片攻击 是什么?
IP 分片攻击一类滥用 IP 分片(重叠、过小、过大等)的网络攻击,用于使主机崩溃、绕过 IDS/IPS 或造成拒绝服务。
IP 分片攻击利用网络协议栈对超过 MTU 的 IP 包的重组逻辑。变种包括 Teardrop(重叠分片导致有缺陷的重组代码崩溃)、Tiny Fragment(将 L4 头部跨分片切分以绕过包过滤)、Bonk、Jolt(超长或零偏移分片),以及针对 IPv6 扩展头的分片攻击。如今多用于 IDS/IPS 绕过——将恶意载荷拆分,使签名引擎无法看到完整内容——或通过分片缓存进行放大型 DoS。防御措施:及时打补丁,边界防火墙在可行时丢弃非首分片,使用具备重组能力的 IPS 进行流量归一化,在不必要时关闭 IPv6 分片。
● 示例
- 01
经典 Teardrop 攻击通过重叠 IP 分片使老版 Windows 主机崩溃。
- 02
tiny fragment 绕过将带有恶意选项的 TCP SYN 拆成两段,以躲避简单 ACL。
● 常见问题
IP 分片攻击 是什么?
一类滥用 IP 分片(重叠、过小、过大等)的网络攻击,用于使主机崩溃、绕过 IDS/IPS 或造成拒绝服务。 它属于网络安全的 攻击与威胁 分类。
IP 分片攻击 是什么意思?
一类滥用 IP 分片(重叠、过小、过大等)的网络攻击,用于使主机崩溃、绕过 IDS/IPS 或造成拒绝服务。
IP 分片攻击 是如何工作的?
IP 分片攻击利用网络协议栈对超过 MTU 的 IP 包的重组逻辑。变种包括 Teardrop(重叠分片导致有缺陷的重组代码崩溃)、Tiny Fragment(将 L4 头部跨分片切分以绕过包过滤)、Bonk、Jolt(超长或零偏移分片),以及针对 IPv6 扩展头的分片攻击。如今多用于 IDS/IPS 绕过——将恶意载荷拆分,使签名引擎无法看到完整内容——或通过分片缓存进行放大型 DoS。防御措施:及时打补丁,边界防火墙在可行时丢弃非首分片,使用具备重组能力的 IPS 进行流量归一化,在不必要时关闭 IPv6 分片。
如何防御 IP 分片攻击?
针对 IP 分片攻击 的防御通常结合技术控制与运营实践,详见上方完整定义。
IP 分片攻击 还有哪些其他名称?
常见的别称包括: Teardrop 攻击, Tiny fragment 攻击, 分片绕过。
● 相关术语
- attacks№ 1135
TCP 重置注入
伪造与现有连接匹配的 TCP RST 报文,使端点突然关闭连接,中断或劫持会话的攻击。
- attacks№ 865
混杂模式
网络接口的一种模式,NIC 会将链路上看到的所有帧都送给操作系统,实现对共享或镜像段流量的被动嗅探。
- attacks№ 1060
Smurf 攻击
向网络广播地址发送伪造源 IP 为受害者的 ICMP echo 请求,使该网络上所有主机向受害者回应的早期放大型 DDoS 攻击。
- attacks№ 329
分布式拒绝服务攻击 (DDoS)
由大量分布式来源同时发起的拒绝服务攻击,通常借助僵尸网络,旨在压垮目标的带宽、基础设施或应用。
- attacks№ 1122
SYN 洪水攻击
基于 TCP 的拒绝服务攻击,通过大量发送未完成三次握手的 SYN 包,耗尽目标的连接状态资源。