精华内容
下载资源
问答
  • 分片报文

    千次阅读 2016-05-31 20:12:11
    分片模块按照SIP+DIP+ID号+PROTO转发。前中后三片必须ID号一致,协议一致。1.分片首片配置如下:偏移位:0;字节为838;2.中片配置如下:偏移位:100;*8为800;字节为838;3.尾片配置如下:偏移位:200;*8为1600;...
    分片模块按照SIP+DIP+ID号+PROTO转发。
    前中后三片必须ID号一致,协议一致。
    1.分片首片配置如下:
    偏移位:0;字节为838;



    2.中片配置如下:
    偏移位:100;*8为800;字节为838;



    3.尾片配置如下:
    偏移位:200;*8为1600;字节小于838即可;



    展开全文
  • IPv6分片报文

    2018-07-21 14:46:39
    IPv6分片报文,研究 IPv6协议扩展头部的时候可以使用。
  • 分片报文攻击是通过向目标设备发送分片出错的报文,使得目标设备在处理分片错误的报文时崩溃、重启或消耗大量的 CPU 资源,给目标设备带来损失。分片报文攻击防范是指设备实时检测出分片报文并予以丢弃或者限速处理...

    分片报文攻击是通过向目标设备发送分片出错的报文,使得目标设备在处理分片错误的报文时崩溃、重启或消耗大量的 CPU 资源,给目标设备带来损失。

    分片报文攻击防范是指设备实时检测出分片报文并予以丢弃或者限速处理,实现对本设备的保护。

    分片报文攻击主要分为以下几类:

    1、分片数量巨大攻击

    IP 报文中的偏移量是以 8 字节为单位的。正常情况下, IP 报文的头部有 20 个字节, IP 报文的最大载荷为 65515。

    对这些数据进行分片,分片个数最大可以达到 8189 片,对于超过 8189 的分片报文,设备在重组这些分片报文时会消耗大量的 CPU 资源。

    启用分片报文攻击防范后,针对分片数量巨大攻击,如果同一报文的分片数目超过 8189 个,则设备认为是恶意报文,丢弃该报文的所有分片。

    2、巨大 Offset 攻击

    攻击者向目标设备发送一个 Offset 值超大的分片报文,从而导致目标设备分配巨大的内存空间来存放所有分片报文,消耗大量资源。

    Offset 字段的最大取值为 65528,但是在正常情况下, Offset 值不会超过 8190(如果 offset=8189*8, IP 头部长度为 20,最后一片报文最多只有 3 个字节 IP 载荷,所以正常 Offset 的最大值是 8189),所以如果 Offset 值超过 8190,则这种报文即为恶意攻击报文,设备直接丢弃。

    启用分片报文攻击防范后,设备在收到分片报文时判断 Offset*8 是否大于 65528,如果大于就当作恶意分片报文直接丢弃。

    3、重复分片攻击

    重复分片攻击就是把同样的分片报文多次向目标主机发送,存在两种情况:

     多次发送的分片完全相同,这样会造成目标主机的 CPU 和内存使用不正常;

     多次发送的分片报文不相同,但 Offset 相同,目标主机就会处于无法处理的状态:哪一个分片应该保留,哪一个分片应该丢弃,还是都丢弃。这样就会造成目标主机的 CPU 和内存使用不正常。

    启用分片报文攻击防范后,对于重复分片类报文的攻击,设备实现对分片报文进行 CAR(Committed Access Rate)限速,保留首片,丢弃其余所有相同的重复分片,保证不对 CPU 造成攻击。

    4、Tear Drop 攻击

    Tear Drop 攻击是最著名的 IP 分片攻击,原理是 IP 分片错误,第二片包含在第一片之中。即数据包中第二片 IP包的偏移量小于第一片结束的位移,而且算上第二片 IP 包的 Data,也未超过第一片的尾部。

    如图所示:

     第一个分片 IP 载荷为 36 字节,总长度为 56 字节, protocol 为 UDP, UDP 检验和为 0(没有检验);

     第二片 IP 载荷为 4 字节,总长度为 24 字节, protocol 为 UDP, Offset=24(错误,正确应该为 36)。

    Tear Drop 攻击分片示意图

    Tear Drop 攻击会导致系统崩溃或重启。启用分片报文攻击防范后,对于 Tear Drop 攻击,设备会直接丢弃所有分片报文。

    5、Syndrop 攻击

    Syndrop 攻击原理和 Tear Drop 原理一致,区别在于 Syndrop 攻击使用了 TCP 协议, Flag 为 SYN,而且带有载荷。

    如图所示:

     第一片 IP 载荷为 28 字节, IP 头部 20 字节;

     第二片 IP 载荷为 4 字节, IP 头部 20 字节, Offset=24(错误,正确应该是 28)。

    Syndrop 攻击分片示意图

    Syndrop 攻击会导致系统崩溃或重启。启用分片报文攻击防范后,对于 Syndrop 攻击,设备会直接丢弃所有分片报文。

    6、NewTear 攻击

    NewTear 攻击是分片错误的攻击。如图所示, protocol 使用 UDP。

     第一片 IP 载荷 28 字节(包含 UDP 头部, UDP 检验和为 0);

     第二片 IP 载荷 4 字节, 0ffset=24(错误,正确应该是 28)。

    NewTear 攻击分片示意图

    NewTear 攻击会导致系统崩溃或重启。启用分片报文攻击防范后,对于 NewTear 攻击,设备会直接丢弃所有分片报文。

    7、Bonk 攻击

    Bonk 攻击是分片错误的攻击。如图所示, protocol 使用 UDP。

     第一片 IP 载荷为 36 字节(包含 UDP 头部, UDP 检验和为 0);

     第二片 IP 载荷为 4 字节, offset=32(错误,正确应该是 36)。

    Bonk 攻击分片示意图

    Bonk 攻击会导致系统崩溃或重启。启用分片报文攻击防范后,对于 Bonk 攻击,设备会直接丢弃所有分片报文。

    8、Nesta 攻击

    Nesta 攻击是分片错误的攻击。如图所示:

     第一片 IP 载荷为 18, protocol 为 UDP,检验和为 0;

     第二片 offset 为 48, IP 载荷为 116 字节;

     第三片 offset 为 0, more frag 为 1,也就是还有分片, 40 字节的 IP option,都是 EOL, IP 载荷为 224 字节。

    Nesta 攻击分片示意图

    Nesta 攻击会导致系统崩溃或重启。启用分片报文攻击防范后,对于 Nesta 攻击,设备会直接丢弃所有分片报文。

    9、Rose 攻击

    IP protocol 可以是 UDP 或 TCP,可以选择。

    如果 IP protocol 是 TCP:

     第一片 IP 载荷为 48 字节(包含 TCP 头部), IP 头部 20 字节;

     第二片 IP 报文的载荷为 32 字节,但是 offset=65408, more frag=0,即最后一片。

    如果 IP protocol 是 UDP:

     第一片载荷长度 40 字节(包含 UDP 头部, UDP 校验和为 0), IP 头部 20 字节;

     第二片 IP 报文的载荷为 32 字节,但是 offset=65408, more frag=0,即最后一片。

    Rose 攻击分片示意图

    Rose 攻击会导致系统崩溃或重启。启用分片报文攻击防范后,对于 Rose 攻击,设备会直接丢弃所有分片报文。

    10、Fawx 攻击

    Fawx 攻击是一种分片错误的 IGMP 报文。

    如图 , Fawx 攻击的特征是:发送 IGMP 报文分片,一共两片,第一片 9 个字节,第二个分片 offset=8,载荷长度为 16 字节,没有结束分片。

    Fawx 攻击分片示意图

    Fawx 攻击会导致系统崩溃或重启。启用分片报文攻击防范后,对于 Fawx 攻击,设备会直接丢弃所有分片报文。

    11、Ping of Death 攻击

    Ping of Death 攻击原理是攻击者发送一些尺寸较大(数据部分长度超过 65507 字节)的 ICMP 报文对设备进行攻击。设备在收到这样一个尺寸较大的 ICMP 报文后,如果处理不当,会造成协议栈崩溃。

    启用分片报文攻击防范后,设备在收到这种攻击报文后,直接丢弃该报文。

    12、Jolt 攻击

    Jolt 攻击是攻击者发送总长度大于 65535 字节的报文对设备进行攻击。Jolt 攻击报文一共 173 个分片,每个分片报文的 IP 载荷为 380 字节,因此总长度为:173*380+20=65760,远远超过 65535。设备在收到这样的报文时,如果处理不当,会造成设备崩溃、死机或重启。

    启用分片报文攻击防范后,设备在收到 Jolt 攻击报文后,直接丢弃该报文。

    展开全文
  • 本申请涉及但不限于通信领域,尤指一种处理分片报文的方法及装置。背景技术:对复杂的网络环境,整个环境的组网可能包括了很多台设备,由于每台设备只能知道本设备的MTU(Maximum Transmission Unit,最大传输单元)值...

    b1745aafcd8b827b8b4b337505b09921.gif

    本申请涉及但不限于通信领域,尤指一种处理分片报文的方法及装置。

    背景技术:

    对复杂的网络环境,整个环境的组网可能包括了很多台设备,由于每台设备只能知道本设备的MTU(Maximum Transmission Unit,最大传输单元)值,而无法获取路径上其他设备的MTU值的大小(IPV6(Internet Protocol Version 6,互联网协议的第六版)有PMTU(路径MTU),但也必须支持按最小MTU进行分片),这时需要路由器具备分片功能;在多核业务板(GSU)上面做分片重组功能,有可以方便布署、功能可裁减、性能可裁减等方面优点。但是由于多核业务板(GSU)一般为多核处理器,报文虽然是按照先后顺序到达各个CPU(中央处理器)的,但是不能保证每个CPU的处理速度一样,因此不能保证先到的报文先被处理完,从而分片后的报文会产生乱序的情况。这样,报文到达重组设备的时候也会产生乱序。

    技术实现要素:

    本发明实施例提供一种处理分片报文的方法及装置,以克服多核业务板分片使报文产生乱序的问题。

    本发明实施例提供了一种处理分片报文的方法,适用于多核业务处理系统,包括:

    当接收到的报文大于预配置的最大传输单元的值时,对所述报文进行分片;

    发送分片后的最后一片报文时,判断排在所述报文前的报文是否已发送,如未发送,则缓存所述最后一片报文,如已发送,则发送所述最后一片报文。

    可选地,所述对所述报文进行分片前,还包括:接收所述报文,当确定所述报文大于预配置的最大传输单元的值时,给所述报文打上序列号;

    所述对所述报文进行分片后,还包括:将所述序列号复制给所述最后一片报文;

    发送所述最后一片报文之前,还包括:剥掉所述序列号。

    可选地,所述对所述报文进行分片前,还包括:

    给所述报文打上指示由多核处理器进行分片的分片标记。

    可选地,所述对所述报文进行分片包括:

    轮询各个中央处理器CPU,按所述序列号的顺序将所述报文发送给空闲CPU进行分片处理。

    本发明实施例提供一种处理分片报文的装置,包括:

    分片模块,当接收到的报文大于预配置的最大传输单元的值时,对所述报文进行分片;

    发送模块,用于发送分片后的最后一片报文时,判断排在所述报文前的报文是否已发送,如未发送则缓存所述最后一片报文,如已发送,则发送所述最后一片报文。

    可选地,所述装置还包括:

    接收模块,用于接收所述报文,当确定所述报文大于预配置的最大传输单元的值时,给所述报文打上序列号后,输出给所述分片模块;

    所述分片模块,对所述报文进行分片后还用于:将所述序列号复制给所述最后一片报文;

    所述发送模块,发送所述最后一片报文之前还用于:剥掉所述序列号。

    可选地,所述接收模块,将所述报文输出给所述分片模块之前还用于,给所述报文打上指示由多核处理器进行分片的分片标记。

    可选地,所述分片模块,对所述报文进行分片包括:轮询各个中央处理器CPU,按所述序列号的顺序将所述报文发送给空闲CPU进行分片处理。

    综上,本发明实施例提供一种处理分片报文的方法及装置,可以克服现有技术中存在的多核业务板分片会产生乱序的问题。该方法通过线卡在报文上送多核业务板分片之前为报文打上序列号,并通过序列号控制最后一片分片报文的顺序来保证整个报文的时序。

    附图说明

    图1为本发明实施例的一种处理分片报文的方法的流程图;

    图2为本发明实施例的一种处理分片报文的装置的示意图;

    图3为本发明实施例的工作原理的基本架构图;

    图4为本发明实施例的基本工作流程图。

    具体实施方式

    为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。

    本发明实施例提供的一种处理分片报文的方法,如图1所示,包括以下步骤:

    步骤11、当接收到的报文大于预配置的最大传输单元的值时,对所述报文进行分片;

    步骤12、发送分片后的最后一片报文时,判断排在所述报文前的报文是否已发送,如未发送,则缓存所述最后一片报文,如已发送,则发送所述最后一片报文。

    图2为本发明实施例的一种处理分片报文的装置的示意图,如图2所示,本实施例的装置包括:

    分片模块,当接收到的报文大于预配置的最大传输单元的值时,对所述报文进行分片;

    发送模块,用于发送分片后的最后一片报文时,判断排在所述报文前的报文是否已发送,如未发送则缓存所述最后一片报文,如已发送,则发送所述最后一片报文。

    可选地,本实施例的装置还可以包括:

    接收模块,用于接收所述报文,当确定所述报文大于预配置的最大传输单元的值时,给所述报文打上序列号后,输出给所述分片模块;

    所述分片模块,对所述报文进行分片后还用于:将所述序列号复制给所述最后一片报文;

    所述发送模块,发送所述最后一片报文之前还用于:剥掉所述序列号。

    可选地,所述接收模块,将所述报文输出给所述分片模块之前还用于,给所述报文打上指示由多核处理器进行分片的分片标记。

    可选地,所述分片模块,对所述报文进行分片包括:轮询各个中央处理器CPU,按所述序列号的顺序将所述报文发送给空闲CPU进行分片处理。

    以下以实施例对本申请的方法进行详细的说明。

    图3为本发明实施例的多核业务板报文分片的基本架构图。本实施例的硬件模块部分包括:设备的主控板、多核处理板和线卡。图3中,R-CPU是主控板MPU上面的CPU,L-CPU就是线卡上的CPU。其中,主控板需要OAM进行将需要分片的报文上送多核处理板的命令配置。

    图4为本发明实施例的处理分片报文的流程图,本实施例包括以下步骤:

    步骤100、telnet(远程登陆)到设备OAM(Operation Administration Management,运行管理维护)(命令配置)界面配置接口的MTU(最大传输单元)值;

    需要在OAM界面上配置接口MTU,主控板将配置的接口MTU的值A下发到线卡的FTM(Forwarding Table Manage,转发表管理),FTM获取接口MTU,Np(Network Processor,网络处理器)(PFU上的网络处理器)从FTM读取配置值A,Np获取接口MTU。

    需要在OAM界面上配置需上送多核业务板的分片标记,FTM获取需上送多核业务板的分片标记,Np获取需上送多核业务板的分片标记;

    步骤101、Np判断当接收到报文的大小B是否大于接口MTU值A,若不大于,则直接发送,若大于,则转步骤102;

    Np判断当接收到报文的大小B大于接口MTU值A时,给所述报文打上指示由多核处理器进行分片的分片标记,然后转步骤102。

    步骤102、Np将报文打上序列号上送多核业务板进行处理;

    在PFU(Packet Forwarding Unit,线卡功能子单元)(PFU为报文进来的板卡,上面有接口卡)上面给报文打序列号,并将报文上送给多核业务板(多核业务板不是报文进来的板卡,报文进来后再送给多核业务板进行处理)。

    步骤103、多核业务处理板轮询CPU,将先到的报文发送给空闲CPU进行处理;

    多核业务版收到报文后,轮询各CPU,判断是否有空闲CPU,若有空闲CPU,则将先到达并打上序列号的报文给空闲的CPU进行处理,如果所有CPU都忙,则等待一个等待周期后继续轮询;

    步骤104、CPU收到报文后,根据接口配置MTU对报文进行分片,并将序列号复制给mf=0的最后一片报文,将分片后的报文发给多核业务板;

    步骤105、多核业务板将分片后的报文发给Np;

    步骤106、Np收到的报文判断mf值,如mf值等于1的直接转发,如mf等于0,则转步骤107;

    步骤107、判断前一个序列号的mf=0的报文是否发送;若未发送,则放在缓存区等待,等一个时间周期,再进行判断,待前一个序列号的mf=0的报文发送之后,才从缓存队列中取出发送;如已经发送,则剥掉序列号发送。

    采用本发明实施例所述方法,与相关技术相比,取得了很大的进步,多核业务板处理分片报文的优势可以多个cpu并行处理业务,增加整机的处理效率和性能,但是多cpu处理分片业务必然会出现乱序的情况,由于重组报文时,只有最后一片报文到达目的地才会进行重组,因此只需要控制最后一片mf=0的报文就可以保序,而mf=0的报文往往是所有分片报文里面最小的,只处理最后一片报文,不会过多增加设备的负担。

    本发明实施例还提供了一种计算机可读存储介质,其存储有计算机可执行指令,所述计算机可执行指令被执行时实现所述处理分片报文的方法。

    本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

    以上仅为本发明的优选实施例,当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

    展开全文
  • 分片报文攻击是通过向目标设备发送分片出错的报文,使得目标设备在处理分片错误的报文时崩溃、重启或消耗大量的CPU资源,给目标设备带来损失。分片报文攻击防范是指设备实时检测出分片报文并予以丢弃或者限速处理,...

    分片报文攻击是通过向目标设备发送分片出错的报文,使得目标设备在处理分片错误的报文时崩溃、重启或消耗大量的CPU资源,给目标设备带来损失。分片报文攻击防范是指设备实时检测出分片报文并予以丢弃或者限速处理,实现对本设备的保护。

    分片报文攻击主要分为以下几类:

    分片数量巨大攻击

    IP报文中的偏移量是以8字节为单位的。正常情况下,IP报文的头部有20个字节,IP报文的最大载荷为65515。对这些数据进行分片,分片个数最大可以达到8189片,对于超过8189的分片报文,设备在重组这些分片报文时会消耗大量的CPU资源。

    启用分片报文攻击防范后,针对分片数量巨大攻击,如果同一报文的分片数目超过8189个,则设备认为是恶意报文,丢弃该报文的所有分片。

    巨大Offset攻击

    攻击者向目标设备发送一个Offset值超大的分片报文,从而导致目标设备分配巨大的内存空间来存放所有分片报文,消耗大量资源。

    Offset字段的最大取值为65528,但是在正常情况下,Offset值不会超过8190(如果offset=8189*8,IP头部长度为20,最后一片报文最多只有3个字节IP载荷,所以正常Offset的最大值是8189),所以如果Offset值超过8190,则这种报文即为恶意攻击报文,设备直接丢弃。

    启用分片报文攻击防范后,设备在收到分片报文时判断Offset*8是否大于65528,如果大于就当作恶意分片报文直接丢弃。

    重复分片攻击

    重复分片攻击就是把同样的分片报文多次向目标主机发送,存在两种情况:

    多次发送的分片完全相同,这样会造成目标主机的CPU和内存使用不正常;

    多次发送的分片报文不相同,但Offset相同,目标主机就会处于无法处理的状态:哪一个分片应该保留,哪一个分片应该丢弃,还是都丢弃。这样就会造成目标主机的CPU和内存使用不正常。

    启用分片报文攻击防范后,对于重复分片类报文的攻击,设备实现对分片报文进行CAR(Committed Access Rate)限速,保留首片,丢弃其余所有相同的重复分片,保证不对CPU造成攻击。

    Tear Drop攻击

    Tear Drop攻击是最著名的IP分片攻击,原理是IP分片错误,第二片包含在第一片之中。即数据包中第二片IP包的偏移量小于第一片结束的位移,而且算上第二片IP包的Data,也未超过第一片的尾部。

    如图8-1所示:

    第一个分片IP载荷为36字节,总长度为56字节,protocol为UDP,UDP检验和为0(没有检验);

    第二片IP载荷为4字节,总长度为24字节,protocol为UDP,Offset=24(错误,正确应该为36)。

    图8-1 Tear Drop攻击分片示意图

    661f138f

    Tear Drop攻击会导致系统崩溃或重启。启用分片报文攻击防范后,对于Tear Drop攻击,设备会直接丢弃所有分片报文。

    Syndrop攻击

    Syndrop攻击原理和Tear Drop原理一致,区别在于Syndrop攻击使用了TCP协议,Flag为SYN,而且带有载荷。

    如图8-2所示:

    第一片IP载荷为28字节,IP头部20字节;

    第二片IP载荷为4字节,IP头部20字节,Offset=24(错误,正确应该是28)。

    图8-2 Syndrop攻击分片示意图

    661f138f

    Syndrop攻击会导致系统崩溃或重启。启用分片报文攻击防范后,对于Syndrop攻击,设备会直接丢弃所有分片报文。

    NewTear攻击

    NewTear攻击是分片错误的攻击。如图8-3所示,protocol使用UDP。第一片IP载荷28字节(包含UDP头部,UDP检验和为0);

    第二片IP载荷4字节,offset=24(错误,正确应该是28)。

    图8-3 NewTear攻击分片示意图

    661f138f

    NewTear攻击会导致系统崩溃或重启。启用分片报文攻击防范后,对于NewTear攻击,设备会直接丢弃所有分片报文。

    Bonk攻击

    Bonk攻击是分片错误的攻击。如图8-4所示,protocol使用UDP。第一片IP载荷为36字节(包含UDP头部,UDP检验和为0);

    第二片IP载荷为4字节,offset=32(错误,正确应该是36)。

    图8-4 Bonk攻击分片示意图

    661f138f

    Bonk攻击会导致系统崩溃或重启。启用分片报文攻击防范后,对于Bonk攻击,设备会直接丢弃所有分片报文。

    Nesta攻击

    Nesta攻击是分片错误的攻击。如图8-5所示:第一片IP载荷为18,protocol为UDP,检验和为0;

    第二片offset为48,IP载荷为116字节;

    第三片offset为0,more frag为1,也就是还有分片,40字节的IP option,都是EOL,IP载荷为224字节。

    图8-5 Nesta攻击分片示意图

    661f138f

    Nesta攻击会导致系统崩溃或重启。启用分片报文攻击防范后,对于Nesta攻击,设备会直接丢弃所有分片报文。

    Rose攻击

    IP protocol可以是UDP或TCP,可以选择。

    如图8-6所示:

    如果IP protocol是TCP:

    第一片IP载荷为48字节(包含TCP头部),IP头部20字节;

    第二片IP报文的载荷为32字节,但是offset=65408,more frag=0,即最后一片。

    如果IP protocol是UDP:

    第一片载荷长度40字节(包含UDP头部,UDP校验和为0),IP头部20字节;

    第二片IP报文的载荷为32字节,但是offset=65408,more frag=0,即最后一片。

    图8-6 Rose攻击分片示意图

    661f138f

    Rose攻击会导致系统崩溃或重启。启用分片报文攻击防范后,对于Rose攻击,设备会直接丢弃所有分片报文。

    Fawx攻击

    Fawx攻击是一种分片错误的IGMP报文。如图8-7,Fawx攻击的特征是:发送IGMP报文分片,一共两片,第一片9个字节,第二个分片offset=8,载荷长度为16字节,没有结束分片。

    图8-7 Fawx攻击分片示意图

    661f138f

    Fawx攻击会导致系统崩溃或重启。启用分片报文攻击防范后,对于Fawx攻击,设备会直接丢弃所有分片报文。

    Ping of Death攻击

    Ping of Death攻击原理是攻击者发送一些尺寸较大(数据部分长度超过65507字节)的ICMP报文对设备进行攻击。设备在收到这样一个尺寸较大的ICMP报文后,如果处理不当,会造成协议栈崩溃。

    启用分片报文攻击防范后,设备在收到这种攻击报文后,直接丢弃该报文。

    Jolt攻击

    Jolt攻击是攻击者发送总长度大于65535字节的报文对设备进行攻击。Jolt攻击报文一共173个分片,每个分片报文的IP载荷为380字节,因此总长度为:173*380+20=65760,远远超过65535。设备在收到这样的报文时,如果处理不当,会造成设备崩溃、死机或重启。

    启用分片报文攻击防范后,设备在收到Jolt攻击报文后,直接丢弃该报文。

    展开全文
  • ACL对分片报文的支持 传统的包过滤并不处理所有IP报文分片,而是只对第一个分片报文进行匹配处理,后续分片一律放行,这样,网络攻击者可能构造后续的分片报文进行流量攻击,带来安全隐患; 设备的包过滤提供了对...
  • 分片报文攻击是通过向目标设备发送分片出错的报文,使得目标设备在处理分片错误的报文时崩溃、重启或消耗大量的 CPU 资源,给目标设备带来损失。分片报文攻击防范是指设备实时检测出分片报文并予以丢弃或者限速处理...
  • 这就是,每个分片的长度一定是8字节(64位)的整数倍 IP 数据报分片以后,只有到达目的地才进行重新组装(这里的重新组装是达到目的地才组装,而不像其他网络协议在下一站就进行重新组装),IP 数据报的分片和组装都是...
  • 问题现象:使用ip6tables 添加端口过滤规则,只允许指定端口IPv6报文进来,测试结果显示如果是分片报文,只有第一个分片报文能够收到,后续分片会被丢弃。 内核版本:3.4.39 问题原因: 因为同样的规则如果是IPv4...
  • 做防火墙模块的时候遇到过IPv6分片报文处理的问题是,当时的问题是netfilter无法基于传输层的端口拦截IPv6分片报文,但是IPv4的分片报文可以。分析了内核源码得知是因为netfilter的连接跟踪模块重组了IPv4分片报文,...
  • 继续接着上篇讲,之前我们说过,收到分片报文后首先会检查分片报文所占内存是否过大,如果超过阈值的话就要调用ip_evictor函数去释放一些旧的分片队列,关于如何释放分片队列资源上一篇已经总结完成,接下来来看下...
  • IP分片报文的接收与重组

    万次阅读 2018-09-12 23:30:03
    Identification - 用来确认不同的分片是否属于同一个IP报文; Flags - 其中IP_MF表示还有分片,此分片为中间分片; Fragment Offset - 表示此分片在整个报文中的偏移地址。 了解了这几个字段之后,来看一下内核中的...
  • 之前因工作原因接触到了IPv4 报文重组这个话题,一直以来对这个重组流程不是很清楚,所以很多功能的实现都避开了分片报文的处理,一方面是因为重组比较复杂,另一方面是经验不多无从下手,最近几周抽空详细看了下...
  • 如果IP层有数据包要传,而且数据包的长度超过了MTU,那么IP层就要对数据包进行分片(fragmentation)操作,使每一片的长度都小于或等于MTU。我们假设要传输一个UDP数据包,以太网的MTU为1500字节,一般IP首部为20...
  • 继续上篇,上次讲到了分片队列的查找操作,剩下的就是分片队列插入和重组两个部分了,这个也是分片重组的关键部分。 将收到的分片插入到分片队列是由函数inet_frag_queue()函数完成,这个函数比较长,多看几遍就好...
  • 分片IP报文攻击

    千次阅读 2017-10-20 13:23:16
    为了传送一个大的IP报文,IP协议栈需要根据链路接口的MTU对该IP报文进行分片,通过填充适当的IP头中的分片指示字段,接收计算机可以很容易的把这些IP分片报文组装起来。  目标计算机在处理这些分片报文的时候,会...
  • 报文分片与重组

    千次阅读 2018-09-27 21:32:14
    分片后,所有分片报文的IP报头中的源/目的IP等信息都一样(TTL不一定一样,因为不同的分片报文可能会经不同的路由路径达到目的端),不同的地方在于分片标志位和分片偏移量,接收方根据接收到的分片报文的源/目的IP...
  • IP报文分片重组的方法

    千次阅读 2010-04-30 01:19:00
    一种基于网络处理器实现IP报文分片重组的方法,包括以下步骤:创建哈希索引表;分配两片用于存储分片IP报文的缓冲存储区;...接收后续的IP分片报文,根据该IP分片报文的片偏移信息将该分片报文的数据净
  • VXLAN报文分片简介

    2019-10-23 17:45:38
    VXLAN报文分片 1、vxlan ac侧二层转发分片 按照MRU分片(大于MRU值分片) (1)只支持ac侧进来的ip报文分片,按照MRU分片,如默认MRU值1446,可通过paf文件修改MRU值。 (2)注意事项:如果出接口为tunnel,需要保证...
  • Wireshark捕获IP报文——分片与不分片Wireshark操作一、观察不分片标志对较短IP报文传输的影响Windows命令行提示窗口Wireshark二、观察不分片标志位对较长IP报文传输的影响Windows命令行提示窗口三、将IP报文分片...
  • IPv4报文分片

    2017-05-21 20:39:00
    IPv4报文分片 1:为什么需要分片 每个数据链路层协议都有自己的帧格式,在这个格式中有一个字段是"数据字段最大长度"(MTU,最大传输单元),当数据报被封装成帧时,数据报的总长度必须小于这个最大长度. ...
  • VPP源码阅读---IP报文重组和分片

    千次阅读 2020-04-25 17:14:31
    1、dpdk ip报文重组相关数据接口及API 1.1相关数据结构 ...其中max_cycles表示分片报文超时时间TTL *frag_cycle = (rte_get_tsc_hz()) + MS_PER_S –1) / MS_PER_S * 10; *是10ms的cycle的一个例子。 */ str...
  • ip分片如果丢了一片,整个报文都需要重传。所以网络传输都会减少ip分片的概率。tcp用MSS,而udp依靠上层协议,比如tftp。 所以ip分片报文不太好抓到,故使用两台pc运行vmware虚拟机。一台当client用udp发送4500...
  • IP报文分片

    2019-10-04 21:40:02
    当 IP 数据报被分片后,只有第一个分片里有运输层协议首部,其余分片都不包含运输层协议的首部,但是每个分片都具有 IP 首部,并且每一片都成为一个分组,在选择路由时每一组与其他分组相互独立。由于分组之间是独立...
  • IP报文分片行为(二)

    2020-05-11 11:26:58
    前面介绍了IP报文的格式,下面以IP+UDP报文为例,介绍IP的分片过程,以及相关关键字段的填充. 1.以太网整体报文格式 MTU即LEN/TYPE与FCS之间可以存放的报文长度,超过此长度时,便需要对整体的IP报文分片处理. 2....
  • IPv4报文分片代码

    2011-10-17 16:53:00
    IP报文内包装了一个ICMP报文,不过还是没法重组报文。想要练习重组报文似乎得直接抓链路层的包才行。 #include <sys/types.h>#include <sys/socket.h>#include <sys/uio.h>#include <netdb....
  • 以下根据strongswan代码中的testing/tests/ikev2/net2net-fragmentation/中的测试环境,来看一下IKEv2协议的报文分片处理流程。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟网关moon和sun网关。 网关配置 moon的...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 771
精华内容 308
关键字:

分片报文