請(qǐng)問目前是否還有一些比較常用的tcp/ip應(yīng)用層協(xié)議會(huì)使用ip分片？

colddawn

服務(wù)器放在公網(wǎng)上，百兆以太網(wǎng)接入，網(wǎng)卡MTU默認(rèn)的1500。\r\n最近發(fā)現(xiàn)經(jīng)常會(huì)收到一些udp/icmp的frag包洪水攻擊，想通過設(shè)置前面交換機(jī)acl把這些ip分片直接丟棄。\r\n據(jù)本人經(jīng)驗(yàn)現(xiàn)在應(yīng)用層協(xié)議很少會(huì)發(fā)出長度超大的包導(dǎo)致ip分片了吧？如果我這樣設(shè)置會(huì)不會(huì)有服務(wù)受到影響？

colddawn

自己頂一下，沒有人肯指點(diǎn)一二么？

ayazero

OS 內(nèi)核棧的漏洞，patch過就沒事

colddawn

樓上各位可能沒明白我的意思？\r\n我的意思是在正常以太網(wǎng)接入情況下，mtu應(yīng)該是1500，在此種條件下有沒有可能有某些比較常見的應(yīng)用層協(xié)議會(huì)發(fā)出或接收長度較大的ip包導(dǎo)致ip分片的？如果沒有或者是很偏門的某些協(xié)議，那我就從防火墻上deny掉所有ip frag了，因?yàn)榫臀夷壳皝砜�，發(fā)到服務(wù)器的frag包大多是一些堆棧溢出和udp frag flood之類的東西。

colddawn

原帖由 ayazero 于 2006-7-5 16:22 發(fā)表\r\nOS 內(nèi)核棧的漏洞，patch過就沒事

\r\n\r\n我確認(rèn)自己服務(wù)器是沒有ip 分片漏洞的，關(guān)鍵問題是可能某段時(shí)間有某些爛人經(jīng)常發(fā)起大流量的udp frag flood，雖然不至于影響服務(wù)器，但拖慢了整體網(wǎng)絡(luò)，所以想在出口卡掉，但由于對(duì)方是發(fā)往隨機(jī)端口的，因此如果要屏蔽，估計(jì)只能屏蔽所有ip分片，現(xiàn)在是要評(píng)估這么做可能帶來哪些副作用。