Cisco Cisco Firepower Management Center 2000 User Guide
29-11
FireSIGHT 系统用户指南
第 29 章 配置传输和网络层预处理
对 IP 数据包进行分片重组
了解 IP 分片漏洞
许可证:保护
启用 IP 分片重组可以帮助您检测针对网络上主机的攻击 (例如泪滴 [teardrop] 攻击)和针对系统
本身的资源消耗攻击 (例如 Jolt2 攻击)。
本身的资源消耗攻击 (例如 Jolt2 攻击)。
泪滴攻击利用某些操作系统中在尝试重组重叠 IP 片段时会导致这些操作系统崩溃的漏洞。 IP 分
片重组预处理器在被启用并配置为识别重叠片段之后,会执行此操作。 IP 分片重组预处理器会检
测重叠片段攻击 (例如泪滴攻击)中的第一批数据包,但对于同一攻击不会检测后续数据包。
片重组预处理器在被启用并配置为识别重叠片段之后,会执行此操作。 IP 分片重组预处理器会检
测重叠片段攻击 (例如泪滴攻击)中的第一批数据包,但对于同一攻击不会检测后续数据包。
Jolt2 攻击会发送同一分片的 IP 数据包的大量副本,以尝试过度使用 IP 分片重组器并导致拒绝服
务攻击。内存使用上限会中断此攻击以及 IP 分片重组预处理器中的类似攻击,并在全面检查基础
上注重系统自我保护。这样,系统不会因攻击而崩溃,可保持运行,并继续检查网络流量。
务攻击。内存使用上限会中断此攻击以及 IP 分片重组预处理器中的类似攻击,并在全面检查基础
上注重系统自我保护。这样,系统不会因攻击而崩溃,可保持运行,并继续检查网络流量。
不同的操作系统以不同方式重组分片数据包。可以确定主机运行的操作系统的攻击者还可以对恶意
数据包进行分片,以便目标主机以特定方式对这些数据包进行重组。由于系统不知道受监控网络上
的主机运行的操作系统,因此预处理器可能会不正确地重组和检查数据包,致使漏洞未经检测即通
过。要缓解这种攻击,您可以配置分片重组预处理器,使其会针对网络中的每个主机使用适当方法
对数据包进行分片重组。有关详细信息,请参阅
数据包进行分片,以便目标主机以特定方式对这些数据包进行重组。由于系统不知道受监控网络上
的主机运行的操作系统,因此预处理器可能会不正确地重组和检查数据包,致使漏洞未经检测即通
过。要缓解这种攻击,您可以配置分片重组预处理器,使其会针对网络中的每个主机使用适当方法
对数据包进行分片重组。有关详细信息,请参阅
。
请注意,您也可以使用自适应配置文件,通过数据包中目标主机的主机操作系统信息来为 IP 分片
重组预处理器动态选择基于目标的策略。有关详细信息,请参阅
重组预处理器动态选择基于目标的策略。有关详细信息,请参阅
。
基于目标的分片重组策略
许可证:保护
主机的操作系统使用三个条件来确定重组数据包时支持哪些数据包片段:操作系统接收片段的顺
序;片段的偏移量 (片段的距离,以字节为单位,从数据包开头起算);以及片段相对于重叠片
段的开始和结束位置。虽然每个操作系统都使用这些条件,但是不同的操作系统在重组分片数据
包时支持不同的片段。因此,网络中具有不同操作系统的两个主机可能会以完全不同的方式重组
同一组重叠片段。
序;片段的偏移量 (片段的距离,以字节为单位,从数据包开头起算);以及片段相对于重叠片
段的开始和结束位置。虽然每个操作系统都使用这些条件,但是不同的操作系统在重组分片数据
包时支持不同的片段。因此,网络中具有不同操作系统的两个主机可能会以完全不同的方式重组
同一组重叠片段。
攻击者 (了解其中一个主机的操作系统)可能会尝试通过发送隐藏在重叠数据包片段中的恶意内
容来逃避检测并利用该主机。该数据包经过重组和检查后看似无害,但是由目标主机进行重组后
则会包含恶意的漏洞。但是,如果将 IP 分片重组预处理器配置为可感知受监控网络段上运行的操
作系统,则它会以与目标主机相同的方式重组分片,从而识别攻击。
容来逃避检测并利用该主机。该数据包经过重组和检查后看似无害,但是由目标主机进行重组后
则会包含恶意的漏洞。但是,如果将 IP 分片重组预处理器配置为可感知受监控网络段上运行的操
作系统,则它会以与目标主机相同的方式重组分片,从而识别攻击。
根据目标主机的操作系统,可以将 IP 分片重组预处理器配置为使用七个分片重组策略之一。下表
列出了这七个策略以及使用每个策略的操作系统。First 和 Last 这两个策略名称反映这些策略是否
支持原始或后续重叠数据包。
列出了这七个策略以及使用每个策略的操作系统。First 和 Last 这两个策略名称反映这些策略是否
支持原始或后续重叠数据包。
表
29-1
基于目标的分片重组策略
策略
操作系统
BSD
AIX
FreeBSD
IRIX
VAX/VMS
BSD-right
HP JetDirect