|
显的攻击意图的包拆成若干片,这样在通过ids或者防火墙的时候,设备会花费更多的时间和资源。
ipv4环境下很容易分辨时候分片,因为ipv4包头有明显的标准。可以看offset是否等于0. ipv6比较特殊,只能由数据的发起端来做,重组只能有数据的接受端来做。实际上中间的网络设备是不参与分片和组装的。分片的标志也不是在ipv6的固定位置,而是由ipv6的扩展包头来说明。分片依然可以达到伪装和躲过攻击探测的目的。
应对:过滤掉针对网络设备的分片。
过滤掉不需要的扩展包头。
过滤掉小于128字节数据包。
------
第三层和第四层的地址欺骗:ipv4,rfc2827只能顾虑到地址网络部分的顾虑,主机不能滤。地址欺骗依然普遍存在,通常用假udp端口ipv6的地址很少应用,大多都是未分配的 页码:[1] [2] [3] [4] [5] [6] 第5页、共6页 |
