IP-Fragmentierungsangriff
Was ist IP-Fragmentierungsangriff?
IP-FragmentierungsangriffAngriffsklasse, die IP-Fragmentierung – überlappende, zu kleine oder zu große Fragmente – ausnutzt, um Hosts abstürzen zu lassen, IDS/IPS zu umgehen oder DoS auszulösen.
IP-Fragmentierungsangriffe nutzen die Reassembly-Logik des Netzwerkstacks für Pakete jenseits der MTU. Varianten: Teardrop (überlappende Fragmente, die fehlerhaften Reassembly-Code zum Absturz bringen), Tiny Fragment (L4-Header über mehrere Fragmente, um Paketfilter zu umgehen), Bonk und Jolt (überdimensionierte oder Zero-Offset-Fragmente) sowie IPv6-Fragmentierungsangriffe auf Extension-Header. Heute zielen sie meist auf IDS/IPS-Evasion – Aufsplittung des Payloads, sodass Signatur-Engines ihn nicht vollständig sehen – oder auf Amplifikations-DoS via Fragment-Caches. Abwehr: aktuelle Betriebssysteme, Drop von Non-Initial-Fragmenten am Perimeter, Traffic-Normalisierung via reassembling IPS, IPv6-Fragmentierung wo unnötig deaktivieren.
● Beispiele
- 01
Klassischer Teardrop-Angriff mit überlappenden Fragmenten, der alte Windows-Hosts abstürzen ließ.
- 02
Tiny-Fragment-Evasion, die ein TCP-SYN mit bösartigen Optionen über zwei Fragmente verteilt und so eine einfache ACL umgeht.
● Häufige Fragen
Was ist IP-Fragmentierungsangriff?
Angriffsklasse, die IP-Fragmentierung – überlappende, zu kleine oder zu große Fragmente – ausnutzt, um Hosts abstürzen zu lassen, IDS/IPS zu umgehen oder DoS auszulösen. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet IP-Fragmentierungsangriff?
Angriffsklasse, die IP-Fragmentierung – überlappende, zu kleine oder zu große Fragmente – ausnutzt, um Hosts abstürzen zu lassen, IDS/IPS zu umgehen oder DoS auszulösen.
Wie funktioniert IP-Fragmentierungsangriff?
IP-Fragmentierungsangriffe nutzen die Reassembly-Logik des Netzwerkstacks für Pakete jenseits der MTU. Varianten: Teardrop (überlappende Fragmente, die fehlerhaften Reassembly-Code zum Absturz bringen), Tiny Fragment (L4-Header über mehrere Fragmente, um Paketfilter zu umgehen), Bonk und Jolt (überdimensionierte oder Zero-Offset-Fragmente) sowie IPv6-Fragmentierungsangriffe auf Extension-Header. Heute zielen sie meist auf IDS/IPS-Evasion – Aufsplittung des Payloads, sodass Signatur-Engines ihn nicht vollständig sehen – oder auf Amplifikations-DoS via Fragment-Caches. Abwehr: aktuelle Betriebssysteme, Drop von Non-Initial-Fragmenten am Perimeter, Traffic-Normalisierung via reassembling IPS, IPv6-Fragmentierung wo unnötig deaktivieren.
Wie schützt man sich gegen IP-Fragmentierungsangriff?
Schutzmaßnahmen gegen IP-Fragmentierungsangriff kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für IP-Fragmentierungsangriff?
Übliche alternative Bezeichnungen: Teardrop-Angriff, Tiny-Fragment-Angriff, Fragmentierungs-Evasion.
● Verwandte Begriffe
- attacks№ 1135
TCP-Reset-Injection
Angriff, der gefälschte TCP-RST-Segmente einer bestehenden Verbindung einspeist, sodass die Endpunkte sie schlagartig schließen und die Session bricht oder übernommen wird.
- attacks№ 865
Promiscuous-Modus
Netzwerkkarten-Modus, in dem die NIC alle auf dem Medium gesehenen Frames an das Betriebssystem weitergibt und so passives Sniffen eines geteilten oder gespiegelten Segments erlaubt.
- attacks№ 1060
Smurf-Angriff
Historischer Amplifikations-DDoS, der ICMP-Echo-Requests an die Broadcast-Adresse eines Netzes mit gespoofter Opfer-IP sendet, sodass jeder Host darauf dem Opfer antwortet.
- attacks№ 329
Distributed-Denial-of-Service-Angriff (DDoS)
Denial-of-Service-Angriff von vielen verteilten Quellen gleichzeitig — meist über ein Botnet — zur Überlastung von Bandbreite, Infrastruktur oder Anwendung.
- attacks№ 1122
SYN-Flood
TCP-basierter Denial-of-Service-Angriff, der viele SYN-Pakete sendet, ohne den Drei-Wege-Handshake abzuschließen, und so die Verbindungsressourcen des Ziels erschöpft.