DOS攻击（denial-of-service）与防范

什么是网络层DoS攻击

什么是网络层DoS攻击
IP碎片攻击（IP fragment attack）是常见的网络层DoS。当IP数据包的长度大于数据链路层的MTU（maxmium transmission unit,最大传输单元）时，需要对IP数据包进行分片操作。在IP头部有三个字段用于控制IP数据包的分片（如图2），其中标识（identification）用来指明分片从属的IP数据包；标志（flag）用来控制是否对IP数据包进行分片和该分片是否是最后分片；分片偏移（Fragment offset）指明该分片在原数据包中的位置，以8Byte为基本单位。若该字段的值为100，则表示该分片中数据处于原IP数据包的800Byte之后。

IP碎片攻击利用了IP分片重组中的漏洞；所有IP分片长度之和可以大于最大IP数据包长度（65535Byte）。通常，TCP/IP协议栈接受到正常IP分片时，会按照分片的偏移字段的值为该IP数据包预留缓冲区。当收到拥有恶意分片偏移字段值的IP分片时，TCP/IP则会为该IP数据包预留超常缓冲区。如果TCP/IP协议接收到大量的恶意IP分片，就会导致缓冲区溢出，使主机宕机，合法服务请求被拒绝。使用ICMP ECHO REQUEST的IP碎片攻击被称为死亡之PING（death of ping），因为ICMP ECHO REQUEST 经常由Ping程序产生。
分片字段
Identification
Flags
Fragment offset
ICMP flooding 是另外一种网络层的DoS。它是通过向攻击主机发送大量的ICMP ECHO REQUEST数据包，导致大量资源被用于ICMP ECHO REPLY ，合法服务请求被拒绝。还有一种ICMP flooding ，使用目的地址为直接广播地址（directed broadcast,如202.103.245.255/24）的IP数据包，不仅占用网络的带宽资源，通过使用虚假IP地址，可以发动对特定主机的攻击。



IP碎片攻击防范
安全实体策略：在网络边界和路由（防火墙）上禁止IP碎片通过或者设定突发碎片包上限，但如果设置不当这可能会使正常的数据通信不能完成。主机实体策略就是为操作系统打上补丁，也可以修补IP分片重组漏洞。



我们可以参考海蜘蛛路由上推荐的这个值2000-3000包/秒来设置突发碎片包上限，这里不可设置太低，否则可能会影响正常通信。
ICMP flooding防范
禁止ICMP ECHO REQUEST通过路由器（禁PING)或者限制突发ICMP包上限。



禁PING的话有时可能造成网络排错困难。
转自：http://bbs.cfan.com.cn/redirect.php?tid=844407&goto=lastpost