基于UDP组播实施分片攻击的可能性

2012-08-27 · 网络分析 · 网络安全 · 19275 次阅读

UDP是无连接的，这种特性决定了其可以通过组播或广播来进行业务数据的交付，同时我们也知道UDP不会像TCP那样将应用程序交付的大应用字段划分为适合网络传输的数据段（segment），UDP会将大应用字段直接交付于网络层处理，那么在网络层必然会面对分片的问题。

关于应用程序、UDP、IP之间交互的过程，我做了一个图示：

应用层、UDP以及IP间的交互情况图示

大的应用字段会被网络层分片后，在网络中传输，这些分片报文会在接收端的网络层重组后，提交给UDP和应用程序。

我们接下来再来看一下协议栈在各层对数据帧/数据报的过滤过程：

协议栈在各层对数据帧/数据报的过滤过程图示

这个是根据《TCP/IP详解卷一》中的第十二章《广播和多播》总结出来的，在此不针对此图做详细描述，有兴趣的兄弟姐妹可以自行参考详解卷一第十二章相关的内容。

我们接着来看一个实际用户工作环境下抓取的UDP 组播分片报文：

用户实际环境中的UDP多播分片报文

因此，基于UDP组播实施分片攻击的可能性是存在的。

遭受这种攻击的假设场景：

用户的某个业务（视频会议、语音、IPTV等）使用组播传输数据报文，黑客只需要构造一些永远无法重组的IP分片报文，以该业务用到的组播地址发送出去，那么所有属于这个多播组的业务主机都将会接收到这些精心构造的攻击报文，那么，可想而知这些多播组内的业务主机在处理的时候，将会出现资源耗尽以至于死机的情况，黑客从而达到拒绝服务的攻击效果。