荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]

发信人: hellsolaris (qq), 信区: Security
标  题: IDS欺骗之Fragroute(上)(4)
发信站: 荔园晨风BBS站 (Sat Nov  1 13:04:37 2003), 站内信件

IDS欺骗之Fragroute(上)(4)
作者:nixe0n    文章来源:www.cnsafe.net  2002年07月18日



3.1.2.IP碎片

  当路由器准备将IP分组发送到网络上,而该网络又无法将这个IP分组一次全部发送
时,路由器必需将分组分成小块,使其长度能够满足这一网络对分组大小的限制,这些
分割出来的小块就叫作碎片(fragmentation)。IP分组可以独立地通过不同的路径转发,
使得碎片只有到达目的主机之后才可能汇集到一块,而且碎片不一定按照次序到达。到
达目的主机后,目的主机会重组IP分片。

  当一个路由器分割一个IP分组时,要把IP分组头的大多数段值复制到每个碎片中,
其中16位的标志符是必须复制的段,它能够唯一地标志一个IP分组,使目的主机能够判
断每个碎片所属的IP分组,而且每个碎片中都偏移值,用来标记素片在IP分组中的位置


  由于目标系统能够重组IP分片,因此需要网络入侵检测系统具有种族IP分片的能力
。如果网络入侵检测系统没有重组IP分片的能力,将无法检测通过IP分片进入的攻击数
据。不过,现在的网络入侵检测产品基本都具有良好的IP分片重组能力,因此基本的IP
碎片问题不会给网络入侵检测系统造成太大的麻烦。但是,象碎片重叠之类的技术仍然
会带来很大的问题。

  下面我们详细介绍如何使用IP碎片欺骗网络入侵检测系统。

基本的重组问题

  IP碎片通常会按照顺序到达目的地,最后的碎片的MF位为0(表示这是最后一个碎片)
。不过,IP片有可能不按照顺序到达,目标系统必须能够重组碎片。但是,如果网络入
侵检测系统总是假设IP碎片是按照顺序到达就会出现漏报的情况。攻击者可以打乱碎片
的的到达顺序,达到欺骗IDS的目的。

  除此之外还有一个问题,IDS必须把IP碎片保存到一个缓冲区里,等所有的碎片到达
之后重组IP分组。如果攻击者不送出所有的碎片,就可能使那些缓存所有碎片的IDS消耗
掉所有内存。目标系统必须有处理这种情况的能力。一些系统会根据TTL,丢弃碎片。ID
S必须以和目标系统相同的方式处理碎片。如果IDS接收被监视的主机丢弃的碎片流,就
会被攻击者插入垃圾数据;如果IDS丢弃被监视系统接受的数据,就可能遗漏攻击数据流
量。

碎片重叠问题

  目前,主要有两种技术用于逃避检测设备的监视。第一种就是使用尽可能小的碎片
,例如:每个碎片只有8个字节(碎片最小8个字节),而每个碎片中都没有足够的信息,
从而逃过检测。但是,现在的包过滤设备一般会主动丢弃这种碎片,入侵检测设备也会
发出碎片攻击的报警,因此这种逃避方式很难奏效。

  另外一种方式就是碎片重叠。在IP分组中有一个13位的域(fragment offset),标识
每个碎片在原始IP分组中的偏移。构造错误的碎片偏移值,可能造成碎片的重叠,如图



图3-2

  图3-2中,frag1负载的数据偏移值为0(也就是第一个碎片),大小是256,而第二个
碎片frag2的数据偏移是248,造成了两个碎片的部分数据重叠。这样会使某个碎片的数
据覆盖掉另一个碎片的重叠数据。而哪一个碎片重叠部分的数据被覆盖由操作系统决定
。例如,如果frag1先于frag2到达,在NT/Y2K和solaris2.6中,frag1的数据会覆盖frag
2的重叠数据;而在Linux中,frag2的数据会覆盖frag1的数据。而如果两个碎片不按正
常顺序到达,也就是frag2先于frag1到达,在NT/Y2K和solaris2.6中,frag2的数据会覆
盖frag1的重叠数据;而在Linux中,frag1的数据会覆盖frag2的数据。这些细节在使用f
ragroute之前一定要弄清楚。

  究竟是后面到达的碎片覆盖先到达的重叠数据,还是后到达碎片的重叠数据被覆盖
可以使用fragroute软件包中的一个工具fragtest进行判断。fragroute的配置选项ip_fr
ag size [new|old]用于IP碎片覆盖方式的配置,new表示后到达的碎片覆盖先到碎片的
重叠数据,old表示后到达的碎片覆盖先到碎片的重叠数据。这两个选项是fragroute配
置选项中比较难以理解的。

  对于碎片重叠,如果网络入侵检测系统的处理方式不同,就会造成漏报。例如,使
用运行于Linux之上的snort作为网络入侵检测系统,而攻击者的攻击目标是Y2K系统。


--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.44.223]

[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店