IP Fragmentierungs-Angriffe - Was verbirgt sich dahinter?
Um IP-Fragmentierungsangriffe zu verstehen, muss zunächst das Konzept von IP Fragmentierung verstanden werden. IP-Kommunikation dient dem Austausch von Datenpaketen im Internet. Auf dem Weg von der Quelle zum Ziel müssen die Pakete häufig über verschiedene Verbindungstechnologien/-systeme weitergeleitet werden.
Die Vielzahl an Technologien bringt die Einschränkungen mit sich, die zur Notwendigkeit der Fragmentierung von IP-Paketen führen können. Unterschiedliche Übertragungssysteme haben nämlich unterschiedliche MTUs (Maximum Transfer Units). Die MTU gibt die maximale IP-Paketlänge/-größe für einen gegebenen Netzwerktyp bzw. ein Übertragungssystem an. Die MTU ist durch das Netzwerk nach oben beschränkt, kennt nach in der Paketgröße nach unten jedoch keine Limitierung. Je kleiner sie ist, desto mehr werden die Nutzdaten bei der Übertragung fragmentiert. Hierbei fällt im Zusammenhang mit dem Begriff „MTU“ oft die Bezeichnung „MSS“ (Maximum Segment Size). Beide stehen in einem Zusammenhang, dürfen aber nicht verwechselt werden. Die MTU ist die maximale Größe des kompletten Datenpakets, wobei die MSS die Größe der Nutzdaten innerhalb des Pakets angibt.
Der Unterschied von MTU und MSS bei TCP/IP:
Unterschiedliche MTU-Größen verschiedener Netzwerktypen in Bytes:
Netzwerktyp | MTU |
Ethernet | 1500 |
Token Ring 4Mbps | 4464 |
Token Ring 16Mbps | 17914 |
IEEE 802.3 | 1492 |
X.25 | 576 |
FDDI | 4352 |
Die IP-Fragmentierung teilt die Pakete/Datagramme so auf, dass diese über den entsprechenden Netzwerktyp übertragen werden können. Der erneute Zusammenbau wird dem Ziel überlassen. Folgende Felder des IP-Headers spielen hierbei eine Rolle:
- Source IP
- Destination IP
- Identification
- Total Length
- Fragment Offset
- Flags
Beispiel eines fragmentierten IP-Datagramms:
Original Datagramm
Sequence | Identifier | Total Length | DF May/Don’t | MF Last/More | Fragment Offset |
0 | 567 | 5180 | 0 | 0 | 0 |
IP-Fragmente
Sequence | Identifier | Total Length | DF May/Don’t | MF Last/More | Fragment Offset |
0:0 | 567 | 1500 | 0 | 1 | 0 |
0:1 | 567 | 1500 | 0 | 1 | 185 |
0:2 | 567 | 1500 | 0 | 1 | 370 |
0:3 | 567 | 740 | 0 | 0 | 555 |
Wie kann man dies für Angriffe nutzen?
IP-Fragmentierung kann in mehrfacher Hinsicht für Angriffe missbraucht werden. Sie kann genutzt werden, um beim Zielsystem die IP-Kommunikation zu attackieren, aber auch, um Sicherheitskomponenten auf dem Weg zum Zielsystem zu attackieren.
Der erneute Zusammenbau (Defragmentierung) kann erst dann erfolgen, wenn alle Fragmente eingetroffen sind. UDP/ICMP-basierte Fragmentierungsangriffe senden meist gefälschte Fragmente, die nicht defragmentiert werden können. Das Vorhalten der Fragmente erfordert Speicher und kann somit im schlimmsten Falle zu einer Erschöpfung der Ressourcen im Bereich Speicher führen. Ein solcher Angriff könnte in Paketen folgender Art erfolgen:
Sequence | Identifier | Total Length | DF May/Don’t | MF Last/More | Fragment Offset |
0:0 | 100 | 1500 | 0 | 1 | 0 |
1:0 | 200 | 1500 | 0 | 1 | 0 |
2:0 | 300 | 1500 | 0 | 1 | 0 |
3:0 | 400 | 1500 | 0 | 1 | 0 |
4:0 | 500 | 1500 | 0 | 1 | 0 |
... | |||||
n:0 | X | 1500 | 0 | 1 | 0 |
Jedes Fragment stellt das erste Fragment eines Datagramms dar und kündigt weitere Fragmente an. Auf den bearbeitenden Hosts und Layer 7-Sicherheitskomponenten werden somit für alle „n“ Kommunikationen Ressourcen reserviert:
TCP-basierte Fragmentierungsangriffe (auch als Teardrop bekannt) hingegen attackieren meist die Defragmentierungsmechanismen der Zielsysteme oder Sicherheitskomponenten. Es werden überlappende Pakete gesendet, die je nach Betriebssystem sogar zu einem Absturz der Zielsystems führen können.
Neueste Blogbeiträge
Bleiben Sie informiert über aktuelle DDoS-Reports, Warnmeldungen und Neuigkeiten zu IT-Sicherheit, Cybercrime und DDoS-Schutz.
Folgen Sie Link11 auf Twitter
A simple visualization of how the Underground Cybercrime Economy cashes in on data and DDoS attacks. To learn more,…
9 Retweets 10
Mehr lesenHow to protect your business and website from DDoS attacks during the biggest sales period of the year:…
5 Retweets 6
Mehr lesenWhat are DDoS Attacks and how do cybercriminals use them as weapons to shut down IT infrastructures? And more impor…
7 Retweets 5
Mehr lesenThis is why (and how) you should block bots on your business website (includes a list of most common bot attacks):…
13 Retweets 9
Mehr lesenWhat is Web Application Firewall, why do you need it and how does it protect your company? Learn more by reading ou…
3 Retweets 5
Mehr lesen0 Retweets 0
@RandyLoss Hah, you weren't the only one saying that.
0 Retweets 0
@vxtrade Your company might ;)
0 Retweets 1
@deckhand25 He is not, but close enough! ;)
0 Retweets 1
What would you do if you received a 180 000€ DDoS extortion email warning to exceed your web infrastructure defense…
1 Retweets 4
Mehr lesenGet a detailed and up to date overview of the global DDoS threat landscape by taking a look at our DDoS Report from…
6 Retweets 5
Mehr lesenRT @cloudtweeters: #CyberResilience has been redefined! We've partnered with @Link11GmbH so our VARs can provide customers with intelligen…
3 Retweets 0