Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Firewall-Filter, die fragmentierte Pakete verarbeiten – Übersicht

Sie können zustandslose Firewallfilter erstellen, die fragmentierte Pakete verarbeiten, die für die Routing-Engine bestimmt sind. Durch das Anwenden dieser Richtlinien auf die Routing-Engine schützen Sie sich vor der Verwendung der IP-Fragmentierung als Mittel zur Verschleierung von TCP-Paketen vor einem Firewallfilter.

Stellen Sie sich beispielsweise ein IP-Paket vor, das in die kleinste zulässige Fragmentgröße von 8 Byte (einen 20-Byte-IP-Header plus eine 8-Byte-Nutzlast) fragmentiert ist. Wenn dieses IP-Paket ein TCP-Paket enthält, enthält das erste Fragment (Fragment-Offset von 0), das am Gerät eintrifft, nur die TCP-Quell- und Zielports (die ersten 4 Byte) und die Sequenznummer (die nächsten 4 Byte). Die TCP-Flags, die in den nächsten 8 Bytes des TCP-Headers enthalten sind, kommen im zweiten Fragment an (Fragment-Offset von 1).

Weitere Informationen finden Sie unter RFC 1858, Sicherheitsüberlegungen für die IP-Fragmentfilterung.

Verwandte Themen