IP Fragmentation

Атака IP fragmentation — это одна из разновидностей DDoS-атак, в результате которой злоумышленник атакует конечные узлы сетей, которые занимаются сборкой IP-пакета в единое целое.

Содержание

  • 1 Описание технологии атаки
  • 2 Виды IP fragmentation атак
  • 3 Способы защиты

 

Описание технологии атаки

Для понимания технологии атаки, сначала разберемся с процессом фрагментации в протоколе IP. Фрагментация — это коммуникационная процедура, при которой IP- дейтаграмма разбивается на неcколько самостоятельных пакетов, которые имеют собственный заголовок и маршрутизируется независимо от других. При потерях фрагментов, по истечении таймаута протоколами более высоких уровней запускается повторная передача дейтаграммы. Фрагментация используется только для пакетов, размер которых превышает заданный Maximum Transmission Unit (MTU) на интерфейсе. MTU — это максимальный объем данных, передаваемый протоколом за одну итерацию, стандартное значение составляет 1500 байт. Этот механизм используется для сокращения времени на повторную передачу в случае возникновения искажения или потери пакета. Уязвимость фрагментации для DDoS-атак заключается в том, что сборка фрагментов осуществляется только в конечном пункте назначения, это позволяет атаковать сервер поддельными пакетами, а также беспрепятственно пройти через роутеры, маршрутизаторы и файерволлы, т.к. они не пересобирают фрагментированный трафик, и, как следствие, не могут его проанализировать и отбросить как вредоносный.

Атаки на фрагментацию протокола IPv6 аналогичны IPv4, но в новой версии существует несколько вариантов защиты, разработанные с учетом современных стандартов защиты информации. Так что даже с переходом на новый стандарт в будущем не избавит нас от атак IP fragmentation.

Виды IP fragmentation атак

UDP и ICMP фрагментация — злоумышленник передает поддельные фрагменты UDP или ICMP-пакетов максимального размера, который превышает MTU сети (обычно более 1500 байт). Сервер-жертва, получая эти пакеты, выделяет все новые ресурсы на восстановление несуществующих данных из фальшивых фрагментов. Добавляет проблем и то, что протокол UDP использует простую модель передачи данных, без проверки на ошибки и целостность данных. Системные ресурсы сервера заканчиваются, и он перестает функционировать. Также не стоит забывать, что такие атаки достаточно велики по объему, и быстро могут забить сетевой канал.

TCP фрагментация (или Teardrop) — используется уязвимость старых операционных систем Windows, которая связана со сборкой фрагментированных IP-пакетов. Злоумышленник посылает специальные подобранные сегменты определенной длины, в результате сборки которых на сервере происходит их некорректная обработка, что приводит к быстрому расходованию ресурсов, и к отказу в обслуживании. В настоящее время не актуальна.

Способы защиты

Типичная атака IP fragmentation использует протокол UDP и довольно велика по объему, от нескольких гигабит в секунду. Под такой нагрузкой ресурсы сервера и полоса пропускания могут исчерпаться очень быстро. Такую атаку из-за наличия сложности проверки трафика UDP непросто фильтровать, т.к. это протокол не поддерживает установку соединения. Поэтому при больших объемах трафика нужно сразу запретить принимать фрагментированный трафик. После этого с помощью анализатора пакетов постараться выявить закономерность в содержимом входящих пакетов, и по нему блокировать подозрительный трафик. Только в таком случае мы будем уверены в том, что вредоносный трафик будет фильтроваться, а легитимный — доходить в полном объеме.