Q014 IP碎片攻击对Snort会产生哪些危害？

为了说明IP碎片攻击对Snort的危害，先看个例子。当路由器准备将IP分组发送到网络，而该网络又无法将这个IP分组一次全部发送完时，路由器必须将该分组分成小块，使其长度能够满足这个网络对分组大小的限制，这些分割出来的小块就叫碎片（fragment）。因此，小IP报文又称为IP碎片。IP碎片可以独立地通过不同的路径进行转发，而且碎片不一定按照次序到达。当到达目的主机后，目的主机会重组IP碎片。现在的IDS产品基本都具有良好的IP碎片重组能力，因此IP碎片问题不会给IDS造成太大的麻烦。但是，像碎片重叠之类的技术仍会带来问题。

攻击者会利用碎片重叠方法实施攻击。当两个碎片有部分数据重叠时，其中一个碎片的数据会覆盖另一个碎片内的重叠数据。至于哪一个碎片重叠部分的数据被覆盖则由操作系统类型决定。例如，在Windows 2000和Solaris 2.x系统中，若碎片frag1先于frag2到达，frag1的数据会覆盖frag2的重叠部分；若两个碎片不按正常顺序到达，则frag2的数据会覆盖frag1的重叠部分。