[精品]IP包分片问题实例分析

《[精品]IP包分片问题实例分析》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、问题描述：客户联系反映其imagedownload网络速度慢，抓包发现网络中有大量的ipfragment,占网络所有组播包的60%左右，怀疑有ipfragment攻击之类的问题，需要协助处理。ipfragment攻击相关信息：ip分片是在网络上传输ip报文时常采用的一种技术手段，但是其中存在一些安全隐患。pingofdeath,teardrop等攻击可能导致某些系统在重组ip分片的过程小宕机或者重新启动。最近,一些ip分片攻击除了用于进行拒绝服务攻击Z外，还经常用丁•躲避防火墙或者网络入侵检测系

2、统的一种手段。部分路由器或者基于网络的入侵检测系统（nids）,山于ip分片重组能力的欠缺，导致无法进行正常的过滤或者检测。及具可能是一台伪装的肉鸡！抓包分析发现人最IPfragment为正常现象，造成download速度慢原因为交换机接server接口配置问题。造成有大量IPfragment的原因为imageservermulticast数据包超过了以太网默认的MTU（1500字节），这样IP层对数据包进行了IP分片传输。经过数据包进行分析得出imageserver发包大小为4132字节Dti

3、trw^on片WC022W200inaioZS3J530.W1277:PFr

4、1«1J?1SU2S31{awSCX4140lSlt：«：53<弭1«37X5：e：532S32S3V!si«isiei2ieXCX2014：201«124U12116121MM7€t31C22：4：222S308703:.：->：•：•o.coss•IPrc>MM7683書示iS3仙包凱2—•□張MU城包丹丄瑠包的》>”片・丄務曲的涪电石示氏飾坤包大小"4132字16.Flags:Status:PacketLength：Ti.s*±tarp:Ethemet:3“T[0-131aTIPH“der

5、■115§lSK據包OxOOOOOOCOxOOOOOOC.ISIS14：13：29<79136990003/15/2010"MmsUIPIA21A?O2:38:A1:2SS-H-ylsttPac：02:€2:lAInternetProtocolD&taaram•TotalLength:•Identifier:9BeaderLength:DifferentiatedServices-15{20bytes)IP丽占20字節J15號數媒包總岳寫丄500字節■厂FragmentationFlags-10

6、01FuBgaentOffset:Tt»eToLive:Protocol:HeaderChecksixs:®9s9」m一」「-_-0F2更多分用位豈鳥1,表示谴有更冬分F比分归僧移员却0FT?；)17mp【23)0x303F(24-25]230.56.161.3730-33：Dest.IPAddress:®DataArea:SourceIPAddress:192.168.2S3.200[26-29]UDP字怜占用8字節(14^2bytes)诰個包中數懺岳度却1472字節孑tInfo0[jaule

7、dNugJ&er:Flegg：Status:PackerLength:Tteeacazp:■L9T*rthcEetHcAder0x0000000GxOOOGOOOO151814:13:29-79147590003/15/2010(ll匕包丹IP分片冷有UDP字栉]号Destination:©Source:0ProtocolT/pe:丁IPHeaXr・InWrnet9Vtersioo:H小―9(TotalLength:逼YT^ragmentationFlags-IQOl0FegBentO">et:

8、1€5(:0TlaeToLive：0Protocol:•BeaderChecksum:SourceIPAddress:De$t・IPAddress:Extrabr/tesGl：00：SE：3S：Al：2500:U:35：02:62:1A0x0800TP(12-13)ProtocolPatagraB4小沁JfcdStIP1A^A.BD2：3B：A1：3S：-S：Hey2e£：Pde:GJ;W:U：DifferentiatedScrvlco-100000000Identifier?——IPnd20宇