UC知道如何防范Teardrop Attack
来源:百度知道 编辑:UC知道 时间:2024/06/08 19:31:18
104 [Thu Dec 25 02:17:14 2008]: IP 220.97.124.169 Teardrop Attack
路由日志有这个提示,网速比较卡。查阅资料,是Teardrop Attack
攻击,也就是滴泪攻击。
我不要解说,我只要怎么防御。不同的ip经常攻击我们路由。
回答好的加分。
看你问哪个层面上的原理了,如果只是站在抓包这一层来看表象,就是下面这种。
但要再具体到IP碎片重组过程中因重叠而如何如何,就不是那么容易说了,各个OS的
协议栈在碎片重组问题上有很多细微但又关键的差别,对某些变量的处理不尽一致,
有些是缓冲区溢出,有些是指针越界导致读取无效内存区域,那只能具体情况具体分
解了。
从前在Win9x下分析这个攻击时看的对象是vip.386,不用看vtcp.386。
☆ teardrop攻击
前面介绍的bonk.c、boink.c都是基于teardrop.c的。
用如下命令观察teardrop.c所发送出来的攻击报文
tcpdump -ntx -s 70 'src host 192.168.5.100 and udp'
--------------------------------------------------------------------------
192.168.5.100.1958 > 192.168.5.111.33978: udp 28 (frag 242:36@0+)
4500 0038 00f2 2000 4011 cd9f c0a8 0564
c0a8 056f 07a6 84ba 0024 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000
192.168.5.100 > 192.168.5.111: (frag 242:4@24)
4500 0018 00f2 0003 4011 edbc c0a8 0564
c0a8