引用:
Originally posted by smlq at 2005-6-10 12:02:
经常在防火墙上看到关于Teardrop attack攻击的报警
但是对这个不是很清楚,什么样的工作机制
怎样发起的攻击?
哪位能详细讲讲?
看你问哪个层面上的原理了,如果只是站在抓包这一层来看表象,就是下面这种。
但要再具体到IP碎片重组过程中因重叠而如何如何,就不是那么容易说了,各个OS的
协议栈在碎片重组问题上有很多细微但又关键的差别,对某些变量的处理不尽一致,
有些是缓冲区溢出,有些是指针越界导致读取无效内存区域,那只能具体情况具体分
解了。
从前在Win9x下分析这个攻击时看的对象是vip.386,不用看vtcp.386。
☆ teardrop攻击
前面介绍的bonk.c、boink.c都是基于teardrop.c的。
用如下命令观察teardrop.c所发送出来的攻击报文
tcpdump -ntx -s 70 'src host 192.168.5.100 and udp'
--------------------------------------------------------------------------
192.168.5.100.1958 > 192.168.5.111.33978: udp 28 (frag 242:36@0+)
4500 0038 00f2 2000 4011 cd9f c0a8 0564
c0a8 056f 07a6 84ba 0024 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000
192.168.5.100 > 192.168.5.111: (frag 242:4@24)
4500 0018 00f2 0003 4011 edbc c0a8 0564
c0a8 056f 07a6 84ba 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000
--------------------------------------------------------------------------
原始teardrop.c只构造了两种碎片包,每次同时发送这两种UDP碎片包。如果指定发
送次数,将完全重复先前所发送出去的两种碎片包。泪滴攻击与oshare攻击不同,可
以跨越路由器远程攻击,ip_ttl会递减。
根据第一个碎片包,第二个碎片包的偏移应该是36,而不是现在的24,这里发生了重
叠。
NIDS可以考虑如下规则
tcpdump -ntx -s 70 '( ( ip[2:2] = 56 and ip[6:2] = 0x2000 ) or ( ip[2:2] = 24 and ip[6:2] = 0x0003 ) ) and udp'
