Ataque de fragmentación IP
¿Qué es Ataque de fragmentación IP?
Ataque de fragmentación IPFamilia de ataques que abusa de la fragmentación IP — fragmentos solapados, demasiado pequeños o demasiado grandes — para colgar hosts, evadir IDS/IPS o causar denegación de servicio.
Los ataques de fragmentación IP explotan la forma en que la pila de red reensambla paquetes mayores que el MTU. Las variantes incluyen Teardrop (fragmentos solapados que rompen código de reensamblado defectuoso), Tiny Fragment (cabeceras L4 partidas entre fragmentos para evadir filtros), Bonk y Jolt (fragmentos sobredimensionados o con offset cero), y ataques de fragmentación IPv6 sobre cabeceras de extensión. Hoy el objetivo suele ser la evasión de IDS/IPS — partir una carga maliciosa para que las firmas nunca la vean entera — o DoS por amplificación a través de cachés de fragmentos. Defensas: parchear los sistemas operativos, descartar fragmentos no iniciales en el firewall perimetral cuando sea posible, normalizar tráfico mediante un IPS que reensamble y desactivar la fragmentación IPv6 si no es necesaria.
● Ejemplos
- 01
Teardrop clásico con fragmentos solapados que colgaba hosts Windows antiguos.
- 02
Evasión por tiny fragment que parte un SYN TCP con opciones maliciosas en dos fragmentos para saltarse una ACL simple.
● Preguntas frecuentes
¿Qué es Ataque de fragmentación IP?
Familia de ataques que abusa de la fragmentación IP — fragmentos solapados, demasiado pequeños o demasiado grandes — para colgar hosts, evadir IDS/IPS o causar denegación de servicio. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Ataque de fragmentación IP?
Familia de ataques que abusa de la fragmentación IP — fragmentos solapados, demasiado pequeños o demasiado grandes — para colgar hosts, evadir IDS/IPS o causar denegación de servicio.
¿Cómo funciona Ataque de fragmentación IP?
Los ataques de fragmentación IP explotan la forma en que la pila de red reensambla paquetes mayores que el MTU. Las variantes incluyen Teardrop (fragmentos solapados que rompen código de reensamblado defectuoso), Tiny Fragment (cabeceras L4 partidas entre fragmentos para evadir filtros), Bonk y Jolt (fragmentos sobredimensionados o con offset cero), y ataques de fragmentación IPv6 sobre cabeceras de extensión. Hoy el objetivo suele ser la evasión de IDS/IPS — partir una carga maliciosa para que las firmas nunca la vean entera — o DoS por amplificación a través de cachés de fragmentos. Defensas: parchear los sistemas operativos, descartar fragmentos no iniciales en el firewall perimetral cuando sea posible, normalizar tráfico mediante un IPS que reensamble y desactivar la fragmentación IPv6 si no es necesaria.
¿Cómo defenderse de Ataque de fragmentación IP?
Las defensas contra Ataque de fragmentación IP combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Ataque de fragmentación IP?
Nombres alternativos comunes: Ataque Teardrop, Ataque de tiny fragment, Evasión por fragmentación.
● Términos relacionados
- attacks№ 1135
Inyección de TCP Reset
Ataque que falsifica segmentos TCP RST coincidentes con una conexión existente para que los extremos la cierren bruscamente, rompiendo o secuestrando la sesión.
- attacks№ 865
Modo promiscuo
Modo de una tarjeta de red en el que la NIC entrega al sistema operativo todas las tramas que ve, permitiendo capturar pasivamente el tráfico de un segmento compartido o reflejado.
- attacks№ 1060
Ataque Smurf
Ataque DDoS por amplificación heredado que envía ICMP echo a la dirección de difusión de una red con la IP de la víctima falsificada, haciendo que todos los hosts respondan a la víctima.
- attacks№ 329
Ataque distribuido de denegación de servicio (DDoS)
Ataque de denegación de servicio lanzado desde muchas fuentes distribuidas a la vez —normalmente una botnet— para saturar el ancho de banda, la infraestructura o la aplicación del objetivo.
- attacks№ 1122
Inundación SYN (SYN flood)
Ataque DoS basado en TCP que envía multitud de paquetes SYN sin completar el handshake de tres pasos, agotando los recursos de estado de conexión del objetivo.