Teardrop攻擊

攻擊特徵

Teardrop是基於UDP的病態分片數據包的攻擊方法，其工作原理是向被攻擊者傳送多個分片的IP包（IP分片數據包中包括該分片數據包屬於哪個數據包以及在數據包中的位置等信息），某些作業系統收到含有重疊偏移的偽造分片數據包時將會出現系統崩潰、重啟等現象。（利用UDP包重組時重疊偏移（假設數據包中第二片IP包的偏移量小於第一片結束的位移，而且算上第二片IP包的Data，也未超過第一片的尾部，這就是重疊現象。）的漏洞對系統主機發動拒絕服務攻擊，最終導致主機宕機；對於Windows系統會導致藍屏當機，並顯示STOP 0x0000000A錯誤。）

檢測方法

對接收到的分片數據包進行分析，計算數據包的片偏移量（Offset）是否有誤。

反攻擊方法：添加系統補丁程式，丟棄收到的病態分片數據包並對這種攻擊進行審計。儘可能採用最新的作業系統，或者在防火牆上設定分段重組功能，由防火牆先接收到同一原包中的所有拆分數據包，然後完成重組工作，而不是直接轉發。因為防火牆上可以設定當出現重疊欄位時所採用的規則。