Filtros de firewall que lidam com a visão geral de pacotes fragmentados

Você pode criar filtros de firewall sem estado que lidam com pacotes fragmentados destinados ao Mecanismo de Roteamento. Ao aplicar essas políticas ao Mecanismo de Roteamento, você protege contra o uso da fragmentação de IP como um meio de disfarçar os pacotes de TCP de um filtro de firewall.

Por exemplo, considere um pacote IP fragmentado no menor tamanho de fragmento permitido de 8 bytes (um cabeçalho IP de 20 byte mais uma carga de 8 byte). Se este pacote IP transporta um pacote TCP, o primeiro fragmento (compensação de fragmentos de 0) que chega ao dispositivo contém apenas as portas de origem e destino do TCP (primeiro 4 bytes) e o número de sequência (próximos 4 bytes). As bandeiras TCP, que estão contidas nos próximos 8 bytes do cabeçalho TCP, chegam no segundo fragmento (compensação de fragmentos de 1).

Veja RFC 1858, Considerações de segurança para filtragem de fragmentos de IP.