CiscoASA高级配置.docxVIP

防范IP分片攻击IP分片的原理每个网络的数据链路层都有自己的帧格式。其中数据字段的长度最大为1500字节，这个数值被称为最大转送单元（MTU），不同的网络有不同的MTU值当IP数据报封装成帧时，必须符合帧格式的规定。如果IP数据报的总长度小于或等于MTU值，就可以直接封装成一个帧；如果IP数据报的总长度大于MTU值，就必须分片，然后将每一个分片封装成一个帧。如图所示，抓到的IP包它们有以下特点→独立的IP数据报。每个分片都是独立的IP数据报，都有一个20字节的首部→标识（Identification），标识都是6307，表示它们是由同一个原始IP数据报生成的分片→标志（Flages） 第一幅图中的Flages字段的第3位是MF位，该位为1表示还有后续分片 第二幅图中的Flages字段的第3位是0，表示这是最后一个分片（last fragment） 第一幅图中的Flages字段的第二位是DF位，为0表示允许分片→分片偏移（Fragment offset） 第一幅图中的Fragment offset是0字节 第二幅图中的Fragment offset是1480字节 其中分片偏移主要的作用是标识分片后的数据报的顺序，这样重组为一个整的数据报后每个分片都有自己的位置。 可以看出，与分片相关的字段有三个，标识、标识、分片偏移IP分片的安全问题IP分片会导致一些安全问题，很多网络攻击