Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation des filtres de pare-feu gérant les paquets fragmentés

Vous pouvez créer des filtres de pare-feu sans état qui gèrent les paquets fragmentés destinés au moteur de routage. En appliquant ces stratégies au moteur de routage, vous protégez contre l’utilisation de la fragmentation IP pour dissimuler des paquets TCP à partir d’un filtre de pare-feu.

Prenons l’exemple d’un paquet IP fragmenté en la plus petite taille de fragment autorisée de 8 octets (un en-tête IP de 20 octets plus une charge utile de 8 octets). Si ce paquet IP transporte un paquet TCP, le premier fragment (décalage de fragment de 0) qui arrive à l’équipement contient uniquement les ports TCP source et de destination (4 premiers octets) et le numéro de séquence (4 octets suivants). Les drapeaux TCP, qui sont contenus dans les 8 octets suivants de l’en-tête TCP, arrivent dans le deuxième fragment (décalage de fragment de 1).

Reportez-vous à la RFC 1858, Considérations relatives à la sécurité pour le filtrage de fragments IP.

Rubriques connexes