我查看了 Cisco IDS 的签名 ID,发现了一个 ID 4050,上面写着上述内容。这到底是什么意思?有人能给我解释一下吗?
答案1
UDP 数据包封装在 IP 数据包内。在 IP 报头中,有一个长度字段,表示 IP 数据包的有效负载的长度。有效负载中是 UDP 数据包,它有自己的报头,还包括一个表示其长度的字段。
因此,您会期望,当 UDP 数据包位于 IP 数据包内时,IP 报头中的长度字段应该与 UDP 报头中的长度字段匹配(不包括报头本身)。
如果不是,那么它一定是格式错误的,否则如果不是 UDP 有效负载,IP 数据包中的额外空间将会被占用。
除非存在驱动程序或硬件故障,否则这种情况绝不应该发生,因此这表明存在拒绝服务攻击,因为可能没有太注意确保数据包的正确形成。