Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

断片化されたパケットを処理するファイアウォールフィルターの概要

ルーティングエンジンに向けてフラグメント化されたパケットを処理するステートレスファイアウォールフィルターを作成できます。これらのポリシーをルーティングエンジンに適用することで、ファイアウォールフィルターから TCP パケットを偽装する手段として、IP フラグメント化の使用を防ぐことができます。

たとえば、8 バイトの最小のフラグメント サイズ(20 バイトの IP ヘッダーと 8 バイトのペイロード)にフラグメント化された IP パケットを考慮します。この IP パケットが TCP パケットを転送する場合、デバイスに到着する最初のフラグメント(フラグメント オフセットは 0)には、TCP の送信元と宛先のポート(最初の 4 バイト)とシーケンス番号(次の 4 バイト)だけが含まれます。TCP フラグは、TCP ヘッダーの次の 8 バイトに含まれていますが、2 番目のフラグメントに到着します(フラグメント オフセットは 1)。

RFC 1858、「 IP フラグメント フィルタリングのセキュリティ上の考慮事項 」を参照してください