 描述
敌人可能会执行一个TCP碎片攻击一个目标的意图避免过滤规则的网络控制,通过试图片段TCP数据包,这样头标志字段被推到第二个片段通常不是过滤。
扩展描述
相比之下,IP碎片发生在一个IP数据报的MTU大于路线数据报必须遍历。这种行为的分裂失败一些IPS和防火墙过滤通常检查的旗头下降以来第一次包的这个包可以防止下面的片段被加工和组装。
另一个变化是重叠的碎片这样一个无害的第一段通过过滤和第二段覆盖的TCP报头数据与真实的负载在本质上是恶意的。恶意负载正常操作可能会导致一个DoS由于资源消耗或内核崩溃。另外结合碎片的碎片可以用速度略慢于超时导致DoS条件迫使资源组合包等大量的时间完成任务。碎片识别数字也可以很轻易复制只有16位IPv4所以只有65536包是必要的。
先决条件
| 这种类型的攻击需要运行一个脆弱的目标系统实现的IP,和对手需要发送任意大小与精心的TCP数据包数据。 |
缓解措施
| 这种攻击可以减轻执行规则RFC1858路由器后指导的。指导的重要部分是创建以下规则“如果佛= = 1和协议TCP包”,这既减轻小片段和重叠的片段在IPv4发动袭击。在IPv6重叠(RFC5722)可能需要额外的步骤,如深度数据包检测。延迟碎片可能会减轻由执行超时接收所有数据包的传输一段时间以来第一次收到包。根据RFC2460 IPv6实现应执行规则,丢弃所有碎片如果碎片不收到60秒内到达的第一个片段。 |
分类法映射
 CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。
引用
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2019-04-04
(版本3.1) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Weaknesses |
| 2022-02-22
(版本3.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述、Extended_Description先决条件 |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
