TCP 碎片攻击概述
TCP 碎片攻击是一种利用 IP 分片机制发起的网络攻击,通过发送畸形的分片数据包,消耗目标系统资源或绕过安全检测。此类攻击常导致目标设备重组分片时崩溃、资源耗尽或安全策略失效。
漏洞成因分析
IP 分片机制缺陷
攻击者利用 IP 协议允许数据包分片的特性,发送重叠分片(如分片偏移值异常)或伪造超大分片(超过 MTU 但标志位未置位),迫使目标系统在重组时触发缓冲区溢出或逻辑错误。
操作系统实现差异
不同操作系统对 RFC 791 中分片重组规则的实现存在差异,例如对重叠分片的处理策略(Linux 优先后到分片,Windows 优先先到分片),攻击者可利用此差异构造特定分片序列。
中间设备检测绕过
部分防火墙或 IDS 仅检查首个分片包头,忽略后续分片内容。攻击者可隐藏恶意负载于非首分片中,绕过深度包检测(DPI)。
流量甄别技术
特征检测
- 异常偏移值:分片偏移值超过总长度,或后续分片覆盖前一分片数据区域。
- 畸形标志位:MF(More Fragments)标志与分片偏移矛盾,如最后一个分片 MF=1。
- 超时分片:分片到达时间间隔异常,可能为故意拖延重组超时。
统计检测
- 分片速率突增:单位时间内分片包数量超过基线阈值(如 >1000/s)。
- 非对称分片:大量分片包仅有少量完成重组,可能为碎片洪泛攻击。
工具示例(Wireshark 筛选器)
plaintext
ip.flags.mf == 1 && ip.frag_offset > 0 # 筛选非首分片
ip.flags.mf == 1 && ip.len < 100 # 筛选超小分片(常见于攻击) 高防加固方案
系统层加固
- 禁用 IP 分片 :对关键服务器设置
sysctl -w net.ipv4.ipfrag_low_thresh=0(Linux)。 - 调整重组超时 :缩短分片缓存时间(如
net.ipv4.ipfrag_time=5,单位秒)。 - 内核参数优化 :限制分片队列长度(
net.ipv4.ipfrag_high_thresh)。
网络设备配置
- 分片过滤 :在边界路由器/防火墙上丢弃分片包(Cisco:
fragment chain 1)。 - 状态检测 :启用 TCP 分片状态跟踪(如 iptables
--state INVALID规则)。
高防服务联动
- 流量清洗:通过云端高防服务过滤畸形分片,仅放行合法重组流量。
- 阈值联动:配置自动触发机制,当分片速率超过阈值时启动清洗或黑洞路由。
应急响应流程
- 流量捕获 :使用
tcpdump -i eth0 'ip[6:2] & 0x3fff != 0'抓取分片包。 - 源头定位:分析分片包源 IP 及 TTL 值,结合 NetFlow/sFlow 数据追踪攻击路径。
- 临时封堵 :通过 ACL 或 BGP FlowSpec 拦截攻击源(如
deny ip any any fragments)。
通过上述方法,可有效识别并防御 TCP 碎片攻击,需结合实时监控与定期漏洞扫描确保策略持续有效。