帶選項的IP封包主要分為以下4中: ①源站選路選項IP封包控制;②路由記錄選項IP封包控制;③時間戳選項IP封包控制;④流辨別選項。
源站選路選項IP封包控制
攻擊原理:
在IP路由技術中,一個IP封包的傳遞路徑是由網絡中的路由器根據封包的目的位址來決定的,但也提供了一種由封包的發送方決定封包傳遞路徑的方法,這就是源站選路選項。源站選路選項允許源站明确指定一條到目的地的路由,覆寫掉中間路由器的路由選項。源站選路選項通常用于網絡路徑的故障診斷和某種特殊業務的臨時傳送。由于IP源站選路選項忽略了封包傳輸路徑中的各個裝置的中間轉發過程,而不管轉發接口的工作狀态。
防禦原理:
啟用源站選路選項IP封包控制後,裝置會檢測收到的封包是否設定IP源站選路選項。如果是則丢棄該封包,并記錄攻擊日志。
源站選路選項IP封包分為:松散的源站選路封包和嚴格的源站選路選項封包,如下圖所示。
松散的源站選路封包
嚴格的源站選路選項封包
2 路由記錄選項IP封包控制
攻擊原理:
在IP路由技術中,提供了路由記錄選項,用來記錄IP封包從源位址到目的位址過程中所經過的路徑,也就是一個處理此封包的路由器的清單。IP路由記錄選項通常用于網絡路徑的故障診斷。
防禦原理:
啟用路由記錄選項IP封包控制後,裝置将檢測收到的封包是否設定IP路由記錄選項。如果是則丢棄該封包,并記錄攻擊日志。
路由記錄選項封包
3 時間戳選項IP封包控制
攻擊原理:
在IP路由技術中,提供了時間戳選項,記錄IP封包從源到目的過程中所經過的路徑和時間,也就是一個處理過此封包的路由器的清單。IP時間戳選項通常用于網絡路徑的故障診斷。
防禦原理:
啟用時間戳選項的IP封包控制後,裝置将檢測收到的封包是否設定IP時間戳記錄選項。如是則丢棄該封包,并記錄攻擊日志。
時間戳選項封包
4 流辨別選項
防禦原理:
啟用流辨別選項的IP封包控制後,裝置将檢測收到的封包是否設定流辨別選項。如是則丢棄該封包,并記錄攻擊日志。
時間戳選項封包:
流辨別選項:該選項長度固定為4位元組,code值為136,後面的字段固定為0x02,流ID為2位元組。