反arp攻擊(arp攻擊解決方法)

什么是淚滴攻擊？

“淚滴攻擊”也被稱為分片攻擊，它是一種典型的利用TCP/IP協議的缺陷，進行的拒絕服務攻擊方式，由于第一個實現這種攻擊的程序名稱為Teardrop，所以這種攻擊方式也被稱為“淚滴”。

攻擊特征：Teardrop工作原理是向被攻擊者發送多個分片的IP包，某些操作系統收到含有重疊偏移的偽造分片數據包時將會出現系統崩潰、重啟等現象。

兩臺計算機在進行通信時，如果傳輸的數據量較大，無法在一個數據報文中傳輸完成，就會將數據拆分成多個分片，傳送到目的計算機后再到堆棧中進行重組，這一過程稱為“分片”。

為了能在到達目標主機后進行數據重組，IP包的TCP首部中包含有信息（分片識別號、偏移量、數據長度、標志位）說明該分段是原數據的哪一段，這樣，目標主機在收到數據后，就能根據首部中的信息將各分片重新組合還原為數據。

如上圖所示，從客戶機向服務器發送一個數據報文無法發送完成的數據，這些數據會被分片發送。

報文1、2、3是TCP連接的三次握手過程，接著4、5、6客戶機向服務器發送三個報文，在這三個數據報文首部信息中，有每個報文的分片信息。

這就是報文重組的信息:

PSH 1:1025(1024) ack 1, win 4096

PSH 1025:2049(1024) ack 1, win 4096

PSH 2049:3073(1024) ack 1, win 4096

在這個報文中，可以看到在第4、5、6這三個報文中，第4個發送的數據報文中是原數據的第1～1025字節內容，第5個發送的報文包含的是第1025～2048字節，第6個數據報文是第2049～3073個字節，接著后面是繼續發送的分片和服務器的確認。當這些分片數據被發送到目標主機后，目標主機就能夠根據報文中的信息將分片重組，還原出數據。

如果入侵者偽造數據報文，向服務器發送含有重疊偏移信息的分段包到目標主機，例如如下所列的分片信息：

PSH 1:1025(1024) ack1, win4096

PSH 1000:2049(1024) ack1, win4096

PSH 2049:3073(1024) ack1, win4096

這樣的信息被目的主機收到后，在堆棧中重組時，由于畸形分片的存在，會導致重組出錯，這個錯誤并不僅僅是影響到重組的數據，由于協議重組算法，會導致內存錯誤，引起協議棧的崩潰。

檢測方法：對接收到的分片數據包進行分析，計算數據包的片偏移量（Offt）是否有誤。

反攻擊方法：添加系統補丁程序，丟棄收到的病態分片數據包并對這種攻擊進行審計。

上一篇：「網絡安全」常見攻擊篇（23）——ARP攻擊

下篇預告：「網絡安全」常見攻擊篇（25）——死亡之ping 敬請關注