Embed Size (px)
Citation preview
Kẻ tấn công sử dụng sự
phân mảnh của giao thức IP
để tấn công hệ thống
IDS và Package Filter không
phát hiện được
Tấn công vào Availability &
DoS
Giới thiệu Sự phân mảnh
Sự phân xảy ra khi một gói tin IP đi từ mạng
này qua mạng kia có đơn vị truyền tải tối đa
(MTU) nhỏ hơn kích thước của gói tin.
Các phân mảnh có thể được chia nhỏ ra nữa
nếu chúng phải đi qua những mạng có MTU
nhỏ hơn kích thước của phân mảnh.
Lý thuyết về sự phân mảnh
1. Số định danh IP, hay cũng được gọi là sốđịnh danh phân mảnh.
2. Số offset .
3. Độ dài phần payload.
4. Cờ MF (More fragments).
Những thông tin gì gói tin phân
mảnh cần phải mang theo:
Số định danh IP là một trường có giá trị
dài 16 bit được tìm thấy trong phần IP
header của tất cả các gói tin.
Thông tin về ID được lưu trong phần IP
header.
Số định danh phân mảnh
Hình bên dưới cho thấy cấu hình của một
datagram trong mạng Ethernet
Một cái nhìn trực quan về sự
phân mảnh
Tiến hành gửi gói tin ICMP có độ dài 4028 byte vào mạng
Một cái nhìn trực quan về sự
phân mảnh
phân
mảnh
các byte trên mỗi phân mảnh
Một cái nhìn trực quan về sự
phân mảnh
cấu hình của phân mảnh đầu tiên
Một cái nhìn trực quan về sự
phân mảnh
mảnh thứ hai
Một cái nhìn trực quan về sự
phân mảnh
Cấu hình của phân mảnh thứ hai
Một cái nhìn trực quan về sự
phân mảnh
mảnh cuối cùng
Một cái nhìn trực quan về sự
phân mảnh
Cấu hình mảnh cuối cùng
Một cái nhìn trực quan về sự
phân mảnh
Thay đổi Offset hoặc header -> Overlapping
Những nguy hại từ sự phân mảnh
Teardrop lợi dụng trường Fragment Offset
Kiểu tấn công teardrop
Khi offset + length của packet #1 khác với
offset của packet #2 thì overlapping xảy ra
Tấn công Teardrop có thể làm System Crash
Kiểu tấn công teardrop
Stephen Northcutt, Judy Novak - Network
Intrusion Detection, Third Edition
http://en.wikipedia.org/wiki/IP_fragmentati
on_attacks
https://www.juniper.net/techpubs/software/j
unos-es/junos-es93/junos-es-swconfig-
security/understanding-teardrop-
attacks.html
Tài liệu tham khảo
?
