攻击原理
正常的网络流量中很少出现TCP分片报文,如果网络中TCP分片报文增多,则很可能正受到ddos攻击。攻击者向攻击目标发送大量的TCP分片报文。
通常会造成以下危害:
大量的TCP分片报文消耗带宽资源,造成被攻击者的响应缓慢甚至无法正常回应。
网络设备或服务器收到大量的TCP分片报文,会进行分片重组,这样会导致网络设备或服务器的性能降低,甚至无法正常工作。
防御原理
TCP分片分为首分片和后续分片,可以只对首分片执行防御动作,如果首分片异常被丢弃了,后续分片因找不到首分片的会话会直接被后续转发流程丢弃。
基于目的地址对TCP首分片报文速率进行统计,当TCP首分片报文速率超过阈值时。按照以下处理方式:
首先检查报文源IP地址是否命中白名单,如果没有命中白名单,则将该源IP所有发送的TCP分片报文直接丢弃。
如果命中白名单,则对分片报文进行放行
对于真实源发送的分片报文攻击,对分片报文限速。