jolt2.c是什么？

jolt2.c是在一个死循环中不停的发送一个ICMP/UDP的IP碎片，可以使Windows系统的机器死锁。我们测试了没打SP的Windows 2000，CPU利用率会立即上升到100%，鼠标无法移动。

我们用Snort分别抓取采用ICMP和UDP协议发送的数据包。

发送的ICMP包：

01/07-15:33:26.974096 192.168.0.9 -> 192.168.0.1

ICMP TTL:255 TOS:0x0 ID:1109 IpLen:20 DgmLen:29

Frag Offset: 0x1FFE Frag Size: 0x9

08 00 00 00 00 00 00 00 00 .........

发送的UDP包：

01/10-14:21:00.298282 192.168.0.9 -> 192.168.0.1

UDP TTL:255 TOS:0x0 ID:1109 IpLen:20 DgmLen:29

Frag Offset: 0x1FFE Frag Size: 0x9

04 D3 04 D2 00 09 00 00 61 ........a

从上面的结果可以看出：

◆分片标志位MF=0，说明是最后一个分片。

◆偏移量为0x1FFE，计算重组后的长度为 (0x1FFE *8) + 29 = 65549 >65535，溢出。

◆IP包的ID为1109，可以作为IDS检测的一个特征。

◆ICMP包：

类型为8、代码为0，是Echo Request；

校验和为0x0000，程序没有计算校验，所以确切的说这个ICMP包是非法的。

◆UDP包：

目的端口由用户在命令参数中指定；

源端口是目的端口和1235进行OR的结果；

校验和为0x0000，和ICMP的一样，没有计算，非法的UDP。

净荷部分只有一个字符‘a‘。

jolt2.c应该可以伪造源IP地址，但是源程序中并没有把用户试图伪装的IP地址赋值给src_addr，不知道是不是故意的。

jolt2的影响相当大，通过不停的发送这个偏移量很大的数据包，不仅死锁未打补丁的Windows系统，同时也大大增加了网络流量。曾经有人利用jolt2模拟网络流量，测试IDS在高负载流量下的攻击检测效率，就是利用这个特性。

【编辑推荐】

1. 深度认知:磁盘碎片给安全带来什么威胁
2. Linux内核碎片重组远程拒绝服务攻击漏洞
3. Linux smbfs smb_receive_trans2碎片重发非法计数漏洞
4. Microsoft Windows 98 UDP碎片淹没远程拒绝服务攻击漏洞

当前名称：jolt2.c是什么？
网址分享：http://www.shufengxianlan.com/qtweb/news26/441126.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联