这是IP数据包格式相关的东西。
首先来看一下IP数据包的格式:
关于其中的一个名词大家可以去网上查,这里只是相应的介绍关于分片的部分。
就是在数据传送时,如果说数据的长度大于设定的MTU长度的话,路由器就要将其进行相应的分片操作,(关于具体的如何分片,以及如何重组可以自己查相关资料)以便让其通过路由进行传送。
如下图所示,一个具有4000字节的数据报,当MTU=1420字节的时候,被划分为3个分片,每个分片长度为1400字节,1400字节是可以被8整除的。
为减少分片的数量,每个分片的长度应尽可能大。为用片偏移表示片段的起始位置,除最后一个分片外,其它分片的长度(数据部分,不包括IP头)应能被8整除。如MTU=505的时候,除去20字节IP头,可以传输的最大数据段长度为485字节,但可被8整除及不不超过485的最大整数为480,需要按480来进行分片。
你可以自己检查一下路由器中的MTU设置。也可以查一下如何在电脑上设置MTU。百度MTU
关于分片攻击的说法也是我在网上找到的,贴出来大家共同讨论。
分片攻击
这种攻击的原理是:在IP的分片包中,所有的分片包用一个分片偏移字段标志分片包的顺序,但是,只有第一个分片包含有TCP端口号的信息。当IP分片包通过分组过滤防火墙时,防火墙只根据第一个分片包的Tcp信息判断是否允许通过,而其他后续的分片不作防火墙检测,直接让它们通过。
这样,攻击者就可以通过先发送第一个合法的IP分片,骗过防火墙的检测,接着封装了恶意数据的后续分片包就可以直接穿透防火墙,直接到达内部网络主机,从而威胁网络和主机的安全。
关于这种说法的验证要了解相关的防火墙的过滤原理,还有IP包的头部信息。
(查看新博客)