Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral dos filtros de firewall que lidam com pacotes fragmentados

Você pode criar filtros de firewall sem estado que lidam com pacotes fragmentados destinados à Mecanismo de Roteamento. Ao aplicar essas políticas ao Mecanismo de Roteamento, você se protege contra o uso da fragmentação de IP como forma de mascarar pacotes TCP de um filtro de firewall.

Por exemplo, considere um pacote IP fragmentado no menor tamanho de fragmento possível de 8 bytes (um header IP de 20 bytes mais um payload de 8 bytes). Se esse pacote IP transporta um pacote TCP, o primeiro fragmento (deslocamento de fragmentação de 0) que chega ao dispositivo contém apenas as portas de origem e destino TCP (os primeiros 4 bytes) e o número da sequência (próximos 4 bytes). Os sinalizadores TCP, que estão contidos nos próximos 8 bytes do header TCP, chegam no segundo fragmento (deslocamento de fragmentação de 1).

Consulte RFC 1858, Considerações de segurança sobre filtragem de fragmentos IP.