DDoS IP/ICMP 碎片攻擊

什麼是 DDoS IP/ICMP 碎片攻擊？

網際網路通訊協定 (IP)/網際網路控制訊息協定 (ICMP) 碎片 DDoS 攻擊是拒絕服務攻擊的常見形式。在此類攻擊中，資料封包碎片機制用於壓垮網路。

當 IP 資料封包被分成小資料包，然後透過網路傳輸並最終重新組裝成原始資料封包（作為正常通訊過程的一部分）時，就會發生 IP 分段。為了滿足每個網路可以處理的大小限制，此過程是必要的。這種限制被描述為最大傳輸單元（MTU）。

當資料包太大時，必須將其分成更小的碎片才能成功���輸。這會導致發送多個資料包，其中一個資料包包含有關資料包的所有信息，包括來源/目標連接埠、長度等。這是初始片段。

其餘的片段僅包括IP頭（IP header）加上資料負載。這些片段不包含有關協定、容量或連接埠的資訊。

攻擊者可以使用 IP 分段來攻擊通訊系統以及安全元件。基於 ICMP 的碎片攻擊通常會發送無法進行碎片整理的假碎片。這反過來會導致碎片被放置在臨時內存中，佔用內存，在某些情況下，耗盡所有可用的內存資源。

IP/ICMP 碎片 DDoS 攻擊的跡象

IP/ICMP 碎片以碎片資料包轟炸目的地

IP/ICMP 碎片會用碎片資料包轟炸目的地，導致其使用記憶體重新組裝所有碎片並淹沒目標網路。

此類攻擊有多種不同的表現形式：

- UDP 泛洪- 在這種類型的 DDoS 攻擊中，攻擊者使用殭屍網路從多個來源發送大量片段。在許多情況下，接收方不會看到起始片段（這些片段通常會在傳入資料包的混亂中遺失）。它只是看到很多沒有協議頭片段的資料包。這些非初始片段很棘手，因為它們可能屬於合法會話，但在大多數情況下將是垃圾流量。接收者不知道哪個是合法的，哪個不是，因為原始片段已經遺失。

- UDP 和 ICMP 分段 DDoS 攻擊- 在此類 DDoS 攻擊中，會傳送偽造的 UDP 或 ICMP 封包。這些資料包被設計為看起來比網路的 MTU 大，但實際上只發送資料包的一部分。由於封包是假的且無法重組，伺服器的資源很快就會被消耗，最終導致伺服器無法處理合法流量。

- DDoS TCP 碎片攻擊- 這種類型的 DDoS 攻擊，也稱為Teardrop 攻擊，針對 TCP/IP 重組機制。在這種情況下，碎片資料包將不會被重組。結果，資料包重疊，目標伺服器完全過載並最終停止工作。

• 什麼是 Ping of Death 攻擊？

為什麼 IP/ICMP 碎片攻擊很危險？

IP/ICMP 碎片攻擊非常危險

IP/ICMP 碎片攻擊與許多其他 DDoS 攻擊一樣，會因大量流量而壓垮目標伺服器的資源。然而，這種DDoS攻擊也會迫使目標伺服器使用資源嘗試重組封包，這往往會導致網路設備和伺服器崩潰。最後，由於非分片片段最初不包含有關它們所屬服務的任何信息，因此很難確定哪些資料包是安全的，哪些資料包不安全。

如何減輕和防止 IP/ICMP 碎片攻擊？

防止 DDoS IP/ICMP 碎片攻擊的方法取決於攻擊的類型和程度。

防止 DDoS IP/ICMP 碎片攻擊的方法取決於攻擊的類型和程度。最常見的緩解方法包括確保阻止惡意資料包到達目標主機。這涉及檢查傳入的資料包以確定它們是否違反分段規則。

一種潛在的拒絕服務攻擊緩解方法是阻止除起始片段之外的所有片段，但這會導致依賴這些片段的合法流量出現問題。更好的解決方案是使用速率限制，這將丟棄大多數資料包（無論是好資料包還是壞資料包，因為速率限制不區分資料包），並且受攻擊的目標伺服器將不受影響。

這種方法可能會為依賴片段的合法服務帶來問題，但這種權衡可能是值得的。沒有一種方法可以帶來 100% 的成功。如果您使用依賴片段的服務（例如 DNS），您可以將您依賴的特定伺服器列入白名單，並對其餘伺服器使用速率限制。