什麼是淚滴攻擊？

　淚滴攻擊 Teardrop Attack 是一種早期的 DoS 攻擊手法，是利用 TCP/IP 封包分片處理的漏洞。

　在正常情況下，當一個資料封包太大時，會被拆分成多個較小的分片(fragment) 傳送，接收端再依序把分片組合成完整的封包，但在淚滴攻擊中，攻擊者會發送「分片資訊錯誤或重疊的封包」，讓目標系統在重新組裝封包時發生錯誤，導致記憶體混亂、系統崩潰、藍畫面、伺服器或網路裝置當機。

　目前的系統多已修補此項漏洞，不過仍有些企業組織依賴較舊且過時或未修補的操作系統來運行，因此這類企業較容易受到淚滴攻擊。

為什麼被稱作「淚滴攻擊」？
　淚滴攻擊的名稱來源來自於封包被撕裂成無法拼湊的碎片，就像淚滴破碎、無法完整回復成原來的樣子。

淚滴攻擊運作原理

　攻擊者發送毀損的封包，讓目標主機無法正確地重新組合數據包，使其耗盡資源，導致系統崩潰，讓正常使用者無法使用網路服務。

正常的 IP 分片機制

• 在網路傳輸中，如果一個 IP 封包大於網路可承載的最大傳輸單位(MTU)，就會被拆分成多個「分片(fragment)」。

• 每個分片都有一個 片段偏移量(fragment offset)，用來告訴接收端如何把分片重新拼湊回完整的封包。

• 接收端收到所有分片後，依照偏移量組合起來，才能得到正確的資料。

淚滴攻擊的惡意行為

• 攻擊者發送「帶有錯誤偏移量的分片封包」。

• 例如：第一個分片覆蓋到第二個分片的部分區段，或偏移量計算不正確。

• 當目標系統嘗試組合這些分片時，因為出現「重疊或矛盾的位元位置」，導致記憶體處理錯誤。

淚滴攻擊造成的結果

舊版作業系統在處理這些異常分片時，因 缺乏錯誤檢查機制，會出現緩衝區溢位(Buffer Overflow)、系統崩潰(Crash)或藍畫面及網路服務中斷(DoS 效果)。

用比喻理解淚滴攻擊

如果要用比喻來理解的話，我們可以把 IP 分片想像成「拼圖」，並且...

• 每一片拼圖都有正確的位置編號(偏移量)。

• 系統會根據編號把拼圖拼好，恢復完整的圖案。

• 淚滴攻擊就是惡意塞入「錯誤編號或重疊位置的拼圖」，結果讓系統在拼接時混亂崩潰。

總的來說，淚滴攻擊的運作原理，就是利用 IP 封包分片機制中的偏移量漏洞，發送重疊或錯誤分片，導致目標系統在重組封包時發生錯誤，進而宕機或癱瘓服務。

淚滴攻擊情境比喻

　現在我們用生活情境來比喻淚滴攻擊的攻擊方式，這樣讀者可以更好的理解淚滴攻擊。

情境一：拼拼圖

你正在拼拼圖。

正常情況下，拼圖會被拆分成很多塊，但每一塊都有正確的編號(就像 IP 分片的偏移量)，你會依照編號把拼圖放到正確的位置，最後就能拚出完整的圖案(像電腦正確重組封包)。

• 淚滴攻擊的情況：
  有人故意把幾塊拼圖的編號弄錯，甚至讓兩片拼圖標示成同一個位置(分片偏移重疊)，當你照著編號拼拼圖時，拼到某個地方就卡住了，甚至怎麼拼拼圖都拼不起來，結果整個遊戲桌都亂掉！這就像是淚滴攻擊的情況。

情境二：快遞包裹

在正常的情況下，一個大包裹太大，快遞員會把包裹拆分成好幾個小箱子(分片)，每個小箱子都會貼上第一箱、第二箱...等的標籤(偏移量)，收件人收到後，就會依序重新組合回完整的大包裹。

• 淚滴攻擊情況：
  快遞員故意把標籤貼錯，比如讓兩個箱子都寫「第二箱」或是讓第一箱寫的位置超過第二箱，這樣收件者收到貨後，依照標籤進行組合時就會亂掉，導致東西拼不起來，甚至弄壞倉庫的系統(就像伺服器崩潰)。

　用這些情境比喻淚滴攻擊，就像有人惡意給你「錯誤或重疊的拼圖或包裹」，導致在重新組裝時混亂當機，最後導致整個系統都無法運作。

如何防禦淚滴攻擊

　由於淚滴攻擊主要是利用 IP 分片處理的漏洞，現代系統與網路設備大多已經修補這個漏洞，因此今天已不再是重大威脅，除非企業組織仍採用較舊的系統和設備進行營運，那麼我們就需要了解淚滴攻擊的防禦方式了。

1. 更新系統與修補漏洞
   使用最新版本的作業系統，並定期安裝安全性更新，避免因為舊版弱點而遭到利用。

2. 防火牆與路由器過濾
   設定防火牆與路由器來檢查並過濾異常 IP 分片封包，若偵測到分片重疊或不合理偏移量的封包，可以直接丟棄。

3. 入侵偵測/防禦系統
   入侵偵測與防禦系統能分析封包特徵，及時攔截淚滴攻擊流量，對於 DDoS 型態的流量，可以設定規則阻止來源異常的流量持續進入。

4. 部署 DDoS 防禦服務或 CDN
   透過雲端 DDoS 防禦或 CDN，讓異常流量在邊緣節點就被過濾，減輕來源伺服器的負擔，避免直接面對攻擊。

騰雲運算的 DDoS／CC 防禦服務，為您的網路業務提供強大的安全保障，立即點擊下方按鈕，與我們聯繫，預約體驗騰雲運算專業的防禦能力。

立即諮詢