TeardropAttack泪滴攻击-TWAREN.ppt

Teardrop Attack 淚滴攻擊 學生：A0933337 葉昱志 指導教授：梁明章 教授 簡單說明 淚滴攻擊利用那些在TCP/IP堆疊實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息，某些TCP/IP（包括servicepack 4以前的NT）在收到含有重疊偏移的偽造分段時將崩潰 Teardrop Attack 阻斷式服務攻擊 利用封包分割重組間的漏洞而產生的攻擊方式。 不正常封包序列導致系統當機 封包傳送與接收 MTU（maximum transfer unit） 封包分割 重組判斷流程（IP層） 1.確認表頭長度 2.檢查封包是否在傳輸中有出錯 3.確認封包是否符合表頭內的規定大小 4.處理其他IP選項 5.確認這個封包是否給自己 是的處理 不是丟掉 6.如果這封包有被分割 則把它存在暫存續列中等待其他分割封包再行結合 7.把封包往下一層送 分割封包 接收到分割的時候會為它配置Memory 第二塊把offset設為第一塊的結尾，end為最尾端(第二塊) 正常的記憶體配置大小=end-offset0 不正常的配置大小=end-offset 0 圖解 防禦方式 收到分割封包時進行分析，計算offset是否有誤 server應用最新的patch或盡可能使用最新的作業系統 設置防火牆時對分段進行重組，而不是轉發它們 參考資料 http://users.tkk.fi/~lhuovine/study/hacker98/dos.html * * *