Teardrop攻击如何利用IP分片重叠导致系统崩溃？

一、Teardrop攻击的原理与历史背景

Teardrop攻击是一种利用IP分片重叠机制发起的拒绝服务（DoS）攻击，最早出现在1990年代中期。其核心机制在于构造恶意的IP数据包，使后续分片的偏移量存在重叠。具体而言，攻击者发送两个或多个IP分片，其中第二个分片的偏移量小于第一个分片结束的位置，从而造成数据覆盖或逻辑冲突。

例如，第一个分片携带前100字节数据，偏移量为0；第二个分片本应从第100字节开始，但攻击者将其偏移量设置为50，并携带60字节数据，导致与前一个分片在第50~99字节区间发生重叠。这种非标准的分片结构违反了RFC 791中关于分片重组的基本规则。

早期的操作系统，如Windows 95、NT以及Linux 2.0.x内核，在处理此类异常分片时缺乏足够的边界检查和合法性验证。当协议栈尝试将这些重叠分片拷贝到重组缓冲区时，可能引发内存越界写入，甚至进入无限循环状态——例如反复尝试合并同一区域的数据，最终耗尽CPU资源或触发内核崩溃。

• 攻击依赖于IP首部中的“分片偏移”字段（单位为8字节）
• 利用目标系统对分片顺序和重叠处理的逻辑缺陷
• 主要影响未打补丁的旧版操作系统
• 无需认证即可远程触发，属于典型的网络层攻击

二、现代操作系统的防御机制演进

随着Teardrop攻击的广泛传播，操作系统厂商迅速采取应对措施。现代操作系统之所以能够有效防御此类攻击，根本原因在于其底层IP分片重组机制经历了结构性改进，特别是在分片校验、内存管理和重组策略三个层面进行了关键优化。

三、底层重组机制的关键改进

1. 分片偏移合法性检查：所有进入的分片在接收时都会进行偏移量与长度的数学一致性验证，确保 (offset × 8 + len) ≤ total_length。
2. 重叠区域检测与拒绝：内核维护一个有序的分片链表，在插入新分片前会遍历现有片段，检测是否存在重叠区间。
3. 使用安全的内存拷贝函数：避免使用memcpy等不检查边界的函数，转而采用带范围控制的安全复制例程。
4. 超时与资源限制机制：每个待重组的分片队列设有最大存活时间（通常30秒）和最大分片数量限制。
5. 延迟重组决策：部分系统采用“懒惰重组”策略，仅当上层协议请求时才执行完整重组，减少中间状态暴露面。
6. 硬件辅助过滤：现代网卡支持LRO/GRO offload，可在驱动层提前识别并丢弃畸形分片。
7. Netfilter/Iptables集成防护：Linux通过nf_conntrack自动标记异常分片行为，实现动态拦截。

// Linux内核中典型的分片重叠检测伪代码
struct ipq *qp;
for (frag = qp->fragments; frag; frag = frag->next) {
    if (new_frag->offset < frag->end && new_frag->end > frag->offset) {
        // 检测到重叠，直接丢弃
        kfree_skb(new_skb);
        return -EINVAL;
    }
}
// 若无重叠，则插入有序链表
insert_fragment(qp, new_frag);

四、现代协议栈的纵深防御体系

该流程图展示了现代操作系统如何构建多层过滤管道。每一个分片都必须通过严格的准入检查才能进入重组队列，任何不符合规范的结构都会被尽早拦截，避免进入高风险的内存操作阶段。

此外，现代TCP/IP协议栈普遍实现了“最小惊讶原则”（Principle of Least Surprise），即对非标准行为采取保守处理策略。即使某些边缘情况未被明确禁止，系统也会倾向于丢弃而非尝试修复。

另一个重要变化是安全模型的转变：从“信任网络输入”转向“零信任分片”。这意味着所有外部来的分片都被视为潜在威胁，必须经过完整性、时序性和拓扑性三重验证。

以Linux 5.x内核为例，net/ipv4/ip_fragment.c模块中引入了refcounting机制防止UAF（Use-After-Free）漏洞，同时使用SLAB分配器对重组缓存进行隔离管理，进一步提升了抗攻击能力。

值得注意的是，尽管Teardrop在单个协议层已被彻底遏制，但其思想仍影响着后续碎片化攻击的研究，如IPv6下的类似变种（如Overlapping Fragment Attack in IPv6），促使IETF不断更新RFC文档（如RFC 8200）以强化分片语义定义。