工控安全职业证书技能实践：畸形报文安全测试与实战.pptxVIP

;CONTENTS;在了解什么是畸形报文之前，我们要先了解什么是IP分片。 首先链路层具有最大传输单元这个特性，它限制了数据帧的最大长度。 然而互联网协议是允许IP进行分片的，这样的话，当数据包比链路最大传输单元大时，就可以被分解为很多的足够小片段，以便能够在其上进行传输。 ;1）所以一些超大尺寸的报文（超出了协议限制的报文），就是我们要介绍的第一种畸形报文。 2）第二种畸形报文就是，报文分片后，分片报文1的最后几个字节与分片报文2的前几个字节重叠，我们称这样的现象为错误的片偏移，这样就会导致接收方在接受了报文后不知如何组合了。 以上两种情况，接收方在组合报文时由于不知如何重组，都会导致系统崩溃。;如下图，这样超大尺寸的报文一旦出现，报文中的额外数据就会被写入到其他正常区域。这很容易导致系统进入非稳定状态，是一种非常典型的缓存溢出威危害。;当接受方收到多个分片报文，并且这些分片报文都有错误的片偏移。由于报文的组合是通过片偏移来组装的，接收方服务器将无法重组分片报文。最终导致服务器崩溃、重启等现象。;如何使用这种超大尺寸的畸形报文对目标服务器进行安全测试呢？ 目标服务器我们以百度为例，65500表示发送报文的长度 ping –t –l 65500 可以看到，目标服务器的数据包接受为0 说明百度对这种畸形报文有进行过安全过 滤配置;发送错误片偏移的畸形报文： 1）运行我们准备好的报文发送脚本。 2）使用Wireshark抓包后得到下图。;上述安全测试部分我们提到的两种畸形报文测试， 1）超大尺寸畸形报文测试其实就是我们常说的死亡之ping攻击，死亡之ping攻击也是一种简单的Dos攻击。 2）错误片偏移畸形报文测试中，攻击者故意将“13位分片偏移”字段设置成错误的值，此字段为字段分片的位置标识，这种攻击方法就是我们常说的泪珠攻击。;谢谢观看