步:网络A上的所有?主机都向该伪造的源地址?返回一个‘echo’响应,造成该主机服务中断。Р7/14/2017Р5Р西南大学计算机与信息科学学院РTeardrop攻击Р原理:对大的IP 包,需对其拆分以迎合链路层MTU。IP报头中有偏移字段和拆分标志MF,如果MF置1,表示该包是一个大IP包的片段,偏移字段指出了该片段在整个IP包中的位置。?如果把偏移字段设置成不正确的值,接收端在收到这些分拆数据包后,就不能正确组合,但会不断尝试,这可使目标计算机因资源耗尽而崩溃。Р7/14/2017Р6Р西南大学计算机与信息科学学院РTeardrop攻击Р防御方法:?对接收到的分片数据包进行分析,计算片偏移量是否有误。丢弃收到的病态分片数据包。?尽可能采用最新的操作系统。?在防火墙上设置分段重组功能,由防火墙先完成重组工作,而不是直接转发。Р7/14/2017Р7Р西南大学计算机与信息科学学院РSYN Flood攻击Р原理:TCP/IP 栈只能等待有限数量的ACK消息,因为缓冲区有限。如果缓冲区已满,则会对接下来的连接停止响应,直到缓冲区里的连接超时。SYN Flood攻击正是利用了这一系统漏洞。?两种攻击方式:?伪造地址进行SYN请求?发送大量的tcp connect连接请求,占用系统资源Р7/14/2017Р8Р西南大学计算机与信息科学学院Р正常的三次握手建立通讯的过程РSYN (我可以连接吗?)РACK (可以)/SYN(请确认!)РACK (确认连接)Р发起方Р应答方РSYN Flood攻击Р7/14/2017Р9Р西南大学计算机与信息科学学院РSYN Flood攻击原理IРSYN (我可以连接吗?)РACK (可以)/SYN(请确认!)Р攻击者Р受害者Р伪造地址进行SYN请求Р为何还没回应Р就是让你白等Р不能建立正常的连接Р7/14/2017Р10Р西南大学计算机与信息科学学院