tcp分片攻击与防御原理

攻击原理

正常的网络流量中很少出现TCP分片报文，如果网络中TCP分片报文增多，则很可能正受到ddos攻击。攻击者向攻击目标发送大量的TCP分片报文。

通常会造成以下危害：

大量的TCP分片报文消耗带宽资源，造成被攻击者的响应缓慢甚至无法正常回应。

网络设备或服务器收到大量的TCP分片报文，会进行分片重组，这样会导致网络设备或服务器的性能降低，甚至无法正常工作。

防御原理

TCP分片分为首分片和后续分片，可以只对首分片执行防御动作，如果首分片异常被丢弃了，后续分片因找不到首分片的会话会直接被后续转发流程丢弃。

基于目的地址对TCP首分片报文速率进行统计，当TCP首分片报文速率超过阈值时。按照以下处理方式：

首先检查报文源IP地址是否命中白名单，如果没有命中白名单，则将该源IP所有发送的TCP分片报文直接丢弃。

如果命中白名单，则对分片报文进行放行

对于真实源发送的分片报文攻击，对分片报文限速。