分片是分組交換的思想體現,也是IP協議解決的兩個主要問題之壹。在IP協議中的分片算法主要解決不同物理網絡最大傳輸單元(MTU) 的不同造成的傳輸問題。但是分組在傳輸過程中不斷地分片和重組會帶來很大的工作量還會增加壹些不安全的因素。我們將在這篇小論文中討論IP分片的原因、原理、實現以及引起的安全問題。
壹、什麽是IP分片
IP分片是網絡上傳輸IP報文的壹種技術手段。IP協議在傳輸數據包時,將數據報文分為若幹分片進行傳輸,並在目標系統中進行重組。這壹過程稱為分片(fragmentation)。
二、為什麽要進行IP分片
每壹種物理網絡都會規定鏈路層數據幀的最大長度,稱為鏈路層MTU(Maximum Transmission Unit).IP協議在傳輸數據包時,若IP數據報加上數據幀頭部後長度大於MTU,則將數據報文分為若幹分片進行傳輸,並在目標系統中進行重組。比如說,在以太網環境中可傳輸最大IP報文大小(MTU)為1500字節。如果要傳輸的數據幀大小超過1500字節,即IP數據報長度大於1472(1500-20-8=1472,普通數據報)字節,則需要分片之後進行傳輸。
三、IP分片原理及分析
分片和重新組裝的過程對傳輸層是透明的,其原因是當IP數據報進行分片之後,只有當它到達目的站時,才可進行重新組裝,且它是由目的端的IP層來完成的。分片之後的數據報根據需要也可以再次進行分片。
IP分片和完整IP報文差不多擁有相同的IP頭,ID域對於每個分片都是壹致的,這樣才能在重新組裝的時候識別出來自同壹個IP報文的分片。在IP頭裏面,16位識別號唯壹記錄了壹個IP包的ID,具有同壹個ID的IP分片將會重新組裝;而13位片偏移則記錄了某IP片相對整個包的位置;而這兩個表中間的3位標誌則標誌著該分片後面是否還有新的分片。這三個標誌就組成了IP分片的所有信息(將在後面介紹),接受方就可以利用這些信息對IP數據進行重新組織。
1、標誌字段的作用
標誌字段在分片數據報中起了很大作用,在數據報分片時把它的值復制到每片中的標誌字段的其中壹個比特稱作“不分片”位,用其中壹個比特來表示“更多的片”。除了最後壹片外,其他每個組成數據報的片都要把該比特置1。片偏移字段指的是該片偏移原始數據報開始處的位置。另外,當數據報被分片後,每個片的總長度值要改為該片的長度值。如果將標誌字段的比特置1,則IP將不對數據報進行分片,若在某個中間路由器上需要對其分片,則僅僅把數據報丟棄並發送壹個ICMP不可達差錯報文給源主機。如果不是特殊需要,則不應該置1;最右比特置1表示該報文不是最後壹個IP分片。故意發送部分IP分片而不是全部,則會導致目標主機總是等待分片消耗並占用系統資源。某些分片風暴攻擊就是這種原理。這裏以以太網為例,由於以太網傳輸電氣方面的限制,每個以太網幀都有最小的大小64bytes最大不能超過1518bytes,拋去以太網幀的幀頭(DMAC目的MAC地址48bit=6Bytes+SMAC源MAC地址48bit=6Bytes+Type域2bytes)14Bytes和幀尾CRC校驗部分4Bytes,那麽剩下承載上層協議的地方也就是Data域最大就只能有1500Bytes,這就是前面所說的MTU的值。這個也是網絡層協議非常關心的地方,因為網絡層的IP協議會根據這個值來決定是否把上層傳達下來的數據進行分片。就好比壹個盒子沒法裝下壹大塊面包,我們需要把面包切成片,裝在多個盒子裏面壹樣的道理。
下面是標誌位在IP首部中的格式以及各個標誌的意義:
Identification
R
DF
MF
Fragment Offset
R:保留未用;DF:Don’t Fragment,“不分片”位,如果將這壹比特置1,IP 層將不對數據報進行分片;MF:More Fragment,“更多的片”,除了最後壹片外,其它每個組成數據報的片都要把比特置1;Fragment Offset:該片偏移原始數據包開始處的位置。偏移的字節數是該值乘以8。
2、MTU原理
當兩臺遠程PC需要通信的時候,它們的數據需要穿過很多的路由器和各種各樣的網絡媒介才能到達對端,網絡中不同媒介的MTU各不相同,就好比壹長段的水管,由不同粗細的水管組成(MTU不同)通過這段水管最大水量就要由中間最細的水管決定。
對於網絡層的上層協議而言(這裏以TCP/IP協議族為例)它們對“水管”粗細不在意,它們認為這個是網絡層的事情。網絡層IP協議會檢查每個從上層協議下來的數據包的大 小,並根據本機MTU的大小決定是否作“分片”處理。分片最大的壞處就是降低了傳輸性能,本來壹次可以搞定的事情,分成多次搞定,所以在網絡層更高壹層(就是傳輸層) 的實現中往往會對此加以註意!有些高層因為某些原因就會要求我這個面包不能切片,我要完整地面包,所以會在IP數據包包頭裏面加上壹個標簽:DF(Don‘t Fragment)。這樣當這個IP數據包在壹大段網絡(水管裏面)傳輸的時候,如果遇到MTU小於IP數據包的情況,轉發設備就會根據要求丟棄這個數據包。然後返回壹個錯誤信息給發送者。這樣往往會造成某些通訊上的問題,不過幸運的是大部分網絡鏈路MTU都是1500或者大於1500(僅X.25網絡的576和點對點網絡的296小於1500)。
對於UDP協議而言,這個協議本身是無連接的協議,對數據包的到達順序以及是否正確到達並不關心,所以壹般UDP應用對分片沒有特殊要求。
對於TCP協議而言就不壹樣了,這個協議是面向連接的協議,對於TCP協議而言它非常在意數據包的到達順序以及是否傳輸中有錯誤發生。所以有些TCP應用對分片有要求---不能分片(DF)。
3、MSS的原理
MSS(Maxmum Sigmentation Size)就是TCP數據包每次能夠傳輸的最大數據分段。為了達到最佳的傳輸效能TCP協議在建立連接的時候通常要協商雙方的MSS值,這個值TCP協議在實現的時候往往用MTU值代替(需要減去IP數據包包頭的大小20字節和TCP數據段的包頭20字節)所以往往MSS為1460。通訊雙方會根據雙方提供的MSS值的最小值確定為這次連接的最大MSS值。
當IP數據報被分片後,每壹片都成為壹個分組,具有自己的IP首部,並在選擇路由時與其他分組獨立。這樣,當數據報的這些片到達目的端時有可能會失序,但是在IP首部中有足夠的信息讓接收端能正確組裝這些數據報片。
盡管IP分片過程看起來是透明的,但有壹點讓人不想使用它:即使只丟失壹片數據也要重傳整個數據報。因為IP層本身沒有超時重傳的機制——由更高層來負責超時和重傳(TCP有超時和重傳機制,但UDP沒有。壹些UDP應用程序本身也執行超時和重傳)。當來自TCP報文段的某壹片丟失後,TCP在超時後會重發整個TCP報文段,該報文段對應於壹份IP數據報。沒有辦法只重傳數據報中的壹個數據報片。事實上,如果對數據報分片的是中間路由器,而不是起始端系統,那麽起始端系統就無法知道數據報是如何被分片的。就這個原因,經常需要避免分片。
四、IP分片算法的原理
分片重組是IP層壹個最重要的工作,其處理的主要思想:當數據包從壹個網絡A進入另壹個網絡B時,若原網絡的數據包大於另壹個網絡或者接口的MTU長度,則需要進行分片(若設置DF為1,則丟棄,並回送ICMP不可達差錯報文)。因而在IP數據包的報頭有若幹標識域註明分片包的***同標識號、分片的偏移量、是否最後壹片及是否允許分片。傳輸途中的網關利用這些標識域進可能的再行分片,目有主機把收到的分片進行重組以恢重數據。因此,分片包在經過網絡監測設備、安全設備、系統管理設備時,為了獲取信息、處理數據,都必須完成數據包的分片或重組。
五、IP分片的安全問題
IP分片是在網絡上傳輸IP報文時常采用的壹種技術,但是其中存在壹些安全隱患。Ping of Death, teardrop等攻擊可能導致某些系統在重組IP分片的過程中宕機或者重新啟動。壹些IP分片攻擊除了用於進行拒絕服務攻擊之外,還常用於躲避防火墻或者網絡入侵檢測系統的壹種手段。部分路由器或者基於網絡的入侵檢測系統(NIDS),由於IP分片重組能力的欠缺,導致無法進行正常的過濾或者檢測。
介紹壹下Tiny fragment 攻擊:
所謂Tiny fragment攻擊是指通過惡意操作,發送極小的分片來繞過包過濾系統或者入侵檢測系統的壹種攻擊手段。攻擊者通過惡意操作,可將TCP報頭(通常為20字節)分布在2個分片中,這樣壹來,目的端口號可以包含在第二個分片中。對於包過濾設備或者入侵檢測系統來說,首先通過判斷目的端口號來采取允許/禁止措施。但是由於通過惡意分片使目的端口號位於第二個分片中,因此包過濾設備通過判斷第壹個分片,決定後續的分片是否允許通過。但是這些分片在目標主機上進行重組之後將形成各種攻擊。通過這種方法可以迂回壹些入侵檢測系統及壹些安全過濾系統。目前壹些智能的包過濾設備直接丟掉報頭中未包含端口信息的分片