我在檢查 Cisco IDS 的簽章 ID 時發現了 ID 4050,上面有上述內容。它到底意味著什麼?誰能向我解釋一下這一點。
答案1
UDP 封包封裝在 IP 封包內。在IP報頭中,有一個長度字段,表示IP資料包的有效負載的長度。有效負載中包含 UDP 封包,具有自己的標頭,並且還包含一個說明其長度的欄位。
因此,您可能會期望,由於 udp 封包位於 IP 封包內部,因此 IP 標頭中的長度欄位應與 UDP 標頭中的長度欄位相符(不包括標頭本身)。
如果不是,那麼它一定是格式錯誤的,否則如果不是 UDP 負載,那麼什麼會佔用 IP 封包中的額外空間。
除非存在驅動程式或硬體故障,否則這種情況永遠不會發生,因此表示存在拒絕服務攻擊,其中可能不太注意確保資料包正確形成。