IP包的分區和重組——路由器的分區攻擊

      這是IP資料包格式相關的東西。

      首先來看一下IP資料包的格式：

 

關於其中的一個名詞大家可以去網上查，這裡只是相應的介紹關於分區的部分。

      就是在資料傳送時，如果說資料的長度大於設定的MTU長度的話，路由器就要將其進行相應的分區操作，（關於具體的如何分區，以及如何重組可以自己查相關資料）以便讓其通過路由進行傳送。

如所示，一個具有4000位元組的資料報，當MTU=1420位元組的時候，被劃分為3個分區，每個分區長度為1400位元組，1400位元組是可以被8整除的。

 

為減少分區的數量，每個分區的長度應儘可能大。為用片位移表示片段的起始位置，除最後一個分區外，其它分區的長度(資料部分，不包括IP頭)應能被8整除。如MTU=505的時候，除去20位元組IP頭，可以傳輸的最大資料區段長度為485位元組，但可被8整除及不不超過485的最大整數為480，需要按480來進行分區。

 

你可以自己檢查一下路由器中的MTU設定。也可以查一下如何在電腦上設定MTU。百度MTU

      關於分區攻擊的說法也是我在網上找到的，貼出來大家共同討論。

分區攻擊

　　這種攻擊的原理是：在IP的分區包中，所有的分區包用一個分區位移欄位標誌分區包的順序，但是，只有第一個分區包含有TCP連接埠號碼的資訊。當IP分區包通過分組過濾防火牆時，防火牆只根據第一個分區包的Tcp資訊判斷是否允許通過，而其他後續的分區不作防火牆檢測，直接讓它們通過。

這樣，攻擊者就可以通過先發送第一個合法的IP分區，騙過防火牆的檢測，接著封裝了惡意資料的後續分區包就可以直接穿透防火牆，直接到達內部網路主機，從而威脅網路和主機的安全。

 

關於這種說法的驗證要瞭解相關的防火牆的過濾原理，還有IP包的頭部資訊。

（查看新部落格）