CodeNote.net

[DoS Attack] Teardrop Attack

Tadashi Shigeoka ·  Thu, January 26, 2012

Notes from researching the Teardrop Attack.

断片化されたIPパケットをつなぎ合わせる際の、TCP/IPの実装上の問題を突いた攻撃方法。ネットワーク上にデータを転送するとき、ネットワークによって決められている最大伝送単位(MTU)を超えるようなIPパケットは、複数の小さなIPパケットに分割されます。分割されたそれぞれのIPパケットには、分割される前のパケットのどの部分であるかを示すオフセット情報が含まれています。分割されたIPパケットを受け取った側は、このオフセット情報を元にしてIPパケットを組み立て、元のパケットを復元しようとします。

「An attack method that exploits TCP/IP implementation issues when reassembling fragmented IP packets. When transferring data over a network, IP packets that exceed the Maximum Transmission Unit (MTU) determined by the network are divided into multiple smaller IP packets. Each divided IP packet contains offset information indicating which part of the pre-division packet it represents. The receiving side uses this offset information to assemble IP packets and restore the original packet.」

 Teardrop攻撃では、このオフセット情報を偽造することにより、オフセットが重複するような不正なIPパケットの断片を作成し、ターゲットとなるコンピュータに送信します。受信した側のコンピュータが、重複したIPパケットの断片をうまく処理できないというTCP/IPの実装上の問題を持っていた場合、システムはクラッシュしてしまうことがあります。この攻撃を防ぐためにはTCP/IPの実装上の問題を修正したパッチを当てる必要があります。

「In a Teardrop attack, this offset information is forged to create malicious IP packet fragments with overlapping offsets, which are then sent to the target computer. If the receiving computer has TCP/IP implementation issues that prevent it from properly handling overlapping IP packet fragments, the system may crash. To prevent this attack, patches that fix TCP/IP implementation issues must be applied.」

・Reference: Teardrop攻撃(ティアドロップコウゲキ。Teardrop Attack):RBB TODAY (ブロードバンド辞典)

分割されたIPパケット(インターネット上で送受信されるデータの単位)をつなぎ合わせる際の、TCP/IPの脆弱性を突いた攻撃手法。IPパケットに含まれる分割前のオフセットフィールド情報を偽造することで、システムを停止させる。

「An attack method that exploits TCP/IP vulnerabilities when reassembling fragmented IP packets (units of data sent and received over the internet). It causes system shutdown by forging offset field information before fragmentation contained in IP packets.」

IPパケットによるデータ転送を行う場合、送信側で規定された最大伝送単位(MTU)を超えるIPパケットは、複数の小さなIPパケットに分割される。この分割されたIPパケットには、分割前のどの部分であるかを示すオフセット値が含まれており、この情報を元に、分割されたIPパケットを受信した側は、データを復元することができる。

「When performing data transfer via IP packets, IP packets that exceed the Maximum Transmission Unit (MTU) specified by the sender are divided into multiple smaller IP packets. These fragmented IP packets contain offset values indicating which part of the pre-fragmentation packet they represent, and the receiving side can restore data based on this information.」

Teardrop攻撃は、このオフセット値が重複するような不正なIPパケットの断片を偽造し、受信したPC(攻撃の標的)の処理を混乱させるものだ。TCP/IPのIPフラグメンテーション(断片化)の脆弱性を突くことで、データ再構築時にPCをクラッシュさせたりフリーズさせたりする。

「The Teardrop attack forges malicious IP packet fragments with overlapping offset values to confuse the processing of the receiving PC (attack target). By exploiting TCP/IP fragmentation vulnerabilities, it causes PCs to crash or freeze during data reconstruction.」

対策としては、矛盾するオフセット値が含まれるデータを破棄するようにTCP/IPの実装を修正したり、TCP/IPの実装上の問題を修正したプログラムを適用するなどの対策が必要だ。

「Countermeasures include modifying TCP/IP implementation to discard data containing conflicting offset values, or applying programs that fix TCP/IP implementation issues.」

・Reference: Teardrop攻撃とは | 日立ソリューションズの情報セキュリティブログ

That’s all from the Gemba regarding Teardrop attack analysis.