Фрагментации IP - это процесс разрушения единого интернет - протокол (IP) дейтаграммы на несколько пакетов меньшего размера. Каждое звено сети имеет характерный размер сообщений , которые могут быть переданы, называется блоком максимального пропускания (MTU).
Часть TCP / IP пакета является Интернет - протокол (IP) , который находится на интернет - слое этой модели. IP - отвечает за передачу пакетов между конечными точками сети. IP - включает в себя некоторые функции , которые обеспечивают основные меры отказоустойчивости (время жить, контрольная сумма), приоритезация трафика (тип сервиса) и поддержку фрагментации больших пакетов на несколько меньших пакетов (ID поля, смещение фрагмента). Поддержка фрагментации больших пакетов обеспечивает протокол , позволяющие маршрутизаторы фрагментировать пакет на меньшие пакеты , когда исходный пакет слишком велик для опорных кадров линий передачи данных. Фрагментация IP эксплойты (атаки) использует протокол фрагментации внутри ИС в качестве вектора атаки.
Процесс
IP - дейтаграммы инкапсулируются в кадрах линий передачи данных, и, следовательно, ссылка MTU влияет на большие IP - дейтаграммы и заставляет их быть разделены на часть , равную или меньшую , чем размер MTU.
Это может быть достигнуто с помощью нескольких подходов:
Для того, чтобы установить размер IP датаграммы равен или меньше, чем непосредственно присоединенной среду и делегировать всю дальнейшую фрагментацию дейтаграмм на маршрутизаторы, а это означает, что маршрутизаторы решить, если текущий пакет должен быть повторно фрагментирован или нет. Это разгружает много работы на маршрутизаторы, а также может привести к пакетам, сегментированы на несколько маршрутизаторов IP один за другие, что приводит к очень своеобразной фрагментации.
Для того, чтобы просмотреть все связи между источником и местом назначения и выбрать наименьшее значение MTU в этом маршруте, предполагая , что существует единственный путь. Таким образом , мы уверены , что фрагментация осуществляется отправителем, используя пакетную величину меньшую , чем выбранный MTU, и нет никакой дальнейшей фрагментации пути. Это решение называется Path MTU Discovery , позволяет отправителю фрагмента / сегмента длинный интернет - пакет , а не полагаться на маршрутизаторы , чтобы выполнять фрагментацию IP-уровня. Это более эффективно и более масштабируемым. Поэтому рекомендуемый метод в текущем Интернете. Проблема с этим подходом является то , что каждый пакет маршрутизируется независимо друг от друга; они вполне могут , как правило , следуют по тому же маршруту, но они не могут,
Три поля в заголовке IP используется для осуществления фрагментации и повторной сборки. «Идентификация», «Флаги» и «Смещение фрагмент» поле.
Бреши
IP-фрагмент перекрывается
Фрагмент IP - перекрывается эксплуатируют возникает , когда два фрагмента , содержащиеся в одной и той же IP - дейтаграммы смещение, указывающие , что они перекрывают друг друга в пределах позиционирования дейтаграммы. Это может означать , что либо фрагмент А быть полностью перезаписан фрагмент B, или что фрагмент А частично перезаписи фрагмента B. Некоторые операционные системы не способны правильно обрабатывать фрагменты , которые перекрываются таким образом , и может генерировать исключения или вести себя в других нежелательных способов при получении перекрывающихся фрагментов. Это является основой для каплевидной атаки . Перекрытие фрагменты могут быть также использованы в попытке обойти системы обнаружения вторжений. При этом используют, часть атаки отправляется в виде фрагментов наряду с дополнительным случайных данных; будущие фрагменты могут перезаписать случайные данные с остатком от атаки. Если завершена дейтаграмма не должным образом собрана в IDS, атака будет идти незамеченной.
IP fragmentation buffer full
The IP fragmentation buffer full exploit occurs when there is an excessive amount of incomplete fragmented traffic detected on the protected network. This could be due to an excessive number of incomplete fragmented datagrams, a large number of fragments for individual datagrams or a combination of quantity of incomplete datagrams and size/number of fragments in each datagram. This type of traffic is most likely an attempt to bypass security measures or Intrusion Detection Systems by intentional fragmentation of attack activity.
IP fragment overrun
IP-фрагмент Переполнение использовать это когда повторно собран фрагментированной дейтаграммы превышает объявленную длину IP-данных или максимальную длину дейтаграммы. По определению, нет IP-дейтаграммы не должна быть больше, чем 65535 байт. Системы, которые пытаются обработать эти большие датаграммы могут привести к сбою, и могут свидетельствовать о отрицанию попытки службы.
IP-фрагмент слишком много дейтаграммы
Слишком много Датаграммы эксплойта идентифицируются чрезмерным количеством неполных фрагментированных дейтаграмм , обнаруженных в сети. Это, как правило , либо отказ в обслуживании нападения или попытки обойти меры безопасности. Примером «Слишком много датаграмм», «Неполная Datagram» и «Фрагмент Too Small» является атака Rose.
IP-фрагмент неполной дейтаграммы
Этот эксплойт возникает, когда дейтаграмма не может быть полностью собраны из-за отсутствия данных. Это может указывать на отказ в обслуживании нападения или попытку разгромить политики безопасности фильтра пакетов.
IP-фрагментов слишком мал
Если фрагмент IP слишком мал, это указывает на то, что фрагмент, вероятно, намеренно созданного. Любой фрагмент, кроме конечного фрагмента, который составляет менее 400 байт можно считать слишком малы. Небольшие фрагменты могут быть использованы в атаках отказа в обслуживании или в попытке обойти меры безопасности или обнаружение.
Оборудование инфраструктуры сети , такие как маршрутизаторы , нагрузки-балансиры , брандмауэры и IDS имеет противоречивую видимость в фрагментированные пакеты. Например, устройство может подвергнуть первоначальный фрагмент к строгой проверке и аудиту, но может позволить всем дополнительным фрагментам , чтобы пройти беспрепятственно. Некоторые атаки могут использовать этот факт , чтобы избежать обнаружения путем размещения компрометирующие полезных данных в виде фрагментов. Устройства , работающие в «полном» режиме прокси , как правило , не восприимчивы к этой уловке.
