IP包的分片和重组,第一个分片有完整的TCP/UDP协议头信息,即端口信息,而其它分片则没有,而当这些分片经过防火墙的时候,防火墙就犯难了,对于第一个分片,如果是合规的,合规就是公司安全策略允许得流量,则允许通过;对于其它分片则只有IP信息,没有TCP/UDP端口信息,允许还是不允许?如果允许,如果是攻击包或者病毒包,对公司安全是一个威胁,防火墙的作用又何在?如果不允许,那合规的流量因为这些分片被丢失而无法通信;这是一个两难的选择,有没有一种办法可以克服?那就是今天要讲的主题!
什么是虚拟分片和重组VFR?
Virtual Fragment Reassemble,简称VFR,它的思路是:如果有IP包的分片经过防火墙的边界,防火墙把这些分片Copy一份给VFR,VFR尝试把这些分片重组成一个原始的IP包,如果可以,返回一个Yes,防火墙放行这IP包所有分片;如果不可以,返回一个No,防火墙丢弃所有的IP分片。之所以叫虚拟,那是因为防火墙没有真正地重组这些分片,只是验证是否可以重组,这些IP分片通过VFR这道安检,还是原来的IP分片。这些IP分片到达终点,目的地的主机会来真正的重组成原始的IP包,然后提交给上层的协议。
记得讲安全边界的时候,我提到过一种黑客攻击,就是碎片攻击,也就是IP分片攻击,其原理如下:比如第一个IP分片包长40000字节,第二个也是40000字节,如果重组在一起是多少?40000➕40000-20=79980字节,为什么要减去20?因为原来是两个IP头,现在是一个IP头,所以要减去一个IP头的大小,即20字节。IP包长度最大是多少?65535!79980>65535那是不是要溢出?是的,但是这个长度是非法的,有一些老一点的操作系统没有检查这个重组后长度的合法性,直接赋值那是要溢出的!那有同学会问:VFR会不会检查?会的,不光检查是否可以重组还检查包长是否合法,如果不合法一样也要丢弃的!
有同学会说:IP包长40000字节能发出去吗?以太网接口缺省MTU不是1500的吗?是的,以上的例子是我为了说明分片攻击所做的假设。但是攻击者可以使用60个IP分片来攻击,那样也可以达到150060-5920=88820一样可以溢出。又同学又会说,在协议栈上对IP分片的总数目做个限制,是的,cisco在其设备上对分片有个限制,最大16片,超过就丢弃不重组了。即使16片,现在好多以太网接口支持超级MTU超过9000,只要8片就可以让长度溢出,所以最重要的就是对重组后的总长度做个检查,超过最大长度65535直接丢弃,干净利索,简单明了!
有一个case是这样的:客户网络的设备上经常弹出trace信息,分析下来是IP分片通过VFR造成的,需要在实验室复现这个问题,最大的难点是如何生成这些分片,于是我在测试仪上手动地改写total length,ID,MF,Fragment Offset,Protocol字段,发2个出去,被测设备没有动静,然后三个、四个、一直到第16个设备弹出trace消息了,和客户网络一样的输出,这是一个bug。
不知道同学们发现一个问题吗?如果这16个分片任意有一个丢失,那其它的15个分片就会在VFR里的缓存buffer里等,直到超时被丢弃,如果超时时间过长,缓存不能及时释放,那可能造成所有的IP分片因为没有得到检查而被丢弃,这不是我们想要的。黑客利用这一点,可以故意少发一个IP分片,然后不断改变IP分片的ID,继续以上的步骤,这样很快就把VFR的缓存占光了,而正常用户的IP分片得不到服务而被丢弃!
这就是俗称的鸠占鹊巢,解决方法是减小超时的时间,让缓存得到及时释放,同时增加缓存的空间,这样攻击就会得到大大地缓解!
那VFR需要配置吗?
VFR一般是自动配置,配置在哪里呢?安全边界!比如公共路由域和私有路由域的边界处,这里你需要配置NAT,以实现IP包可以跨越边界,那VFR就会接口上自动配置成IP virtual-reassemble。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
