Eine Teardrop-Attacke ist ein Angriff auf einen Computer, der eine bestimmte Eigenschaft des IP-Protokolls ausnutzt.
Der Teardrop-Angriff erzeugt eine Reihe von IP-Fragmenten mit überlappenden Offset-Feldern. Werden diese Fragmente beim Zielcomputer zusammengefügt, kann er abstürzen oder neu starten.
Dieser Typ eines Denial-of-Service-Angriffs nutzt die Möglichkeit, dem IP-Layer im TCP/IP-Stack ein übergroßes Paket zu senden, welches zu groß für den nächsten Hop/Router ist.
Teardrop-Angriffe nutzen Schwachpunkte bei der Wiederherstellung von IP-Paketfragmenten aus. Während der Datenübertragung über das Netzwerk werden häufig IP-Pakete in kleine Teile aufgesplittet. Jedes Fragment sieht dabei wie das ursprüngliche IP-Paket aus, mit dem Unterschied, dass es ein Offset-Feld enthält, das beispielsweise aussagt „dieses Fragment überträgt die Bytes der Positionen 200–400 des ursprünglichen (nicht fragmentierten) IP-Pakets“.
Diese DoS-Attacke blockiert durch die Sendung von IP-Fragmenten den Zielrechner. Es werden fragmentierte IP-Pakete mit einer negativen Fragment-Länge versendet. Ältere Versionen der IP-Fragment-Routinen überprüfen dies nicht und liefern für jedes solche Paket eine Fehlermeldung.
Die Teardrop-Angriffe betrafen Windows 95 und Windows NT zuerst im Jahr 1997. Microsoft hat damals ein Bugfix herausgegeben, welches mehrmals erneuert wurde.
Einzelnachweise
Referenzen
- Amrit Tiwana: Web Security. Digital Press, Boston u. a. MA 1999, ISBN 1-555-58210-9, Seite 65 Online.