Ataque de fragmentação IP
O que é Ataque de fragmentação IP?
Ataque de fragmentação IPFamília de ataques que abusa da fragmentação IP — fragmentos sobrepostos, demasiado pequenos ou grandes — para travar hosts, contornar IDS/IPS ou causar negação de serviço.
Os ataques de fragmentação IP exploram a forma como a stack de rede reassembla pacotes maiores que o MTU. Variantes: Teardrop (fragmentos sobrepostos que fazem crashar código de reassembly defeituoso), Tiny Fragment (cabeçalho L4 dividido por vários fragmentos para evitar filtros), Bonk e Jolt (fragmentos sobredimensionados ou com offset zero) e ataques de fragmentação IPv6 sobre cabeçalhos de extensão. Hoje o objetivo costuma ser evasão de IDS/IPS — dividir o payload para que as assinaturas não o vejam integral — ou DoS por amplificação via caches de fragmentos. Defesas: SO atualizado, descartar fragmentos não iniciais no perímetro quando possível, normalizar tráfego com IPS que reassembla e desativar fragmentação IPv6 se não necessária.
● Exemplos
- 01
Ataque Teardrop clássico com fragmentos sobrepostos que travava Windows antigos.
- 02
Evasão tiny fragment dividindo um SYN TCP com opções maliciosas em dois fragmentos para contornar uma ACL simples.
● Perguntas frequentes
O que é Ataque de fragmentação IP?
Família de ataques que abusa da fragmentação IP — fragmentos sobrepostos, demasiado pequenos ou grandes — para travar hosts, contornar IDS/IPS ou causar negação de serviço. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Ataque de fragmentação IP?
Família de ataques que abusa da fragmentação IP — fragmentos sobrepostos, demasiado pequenos ou grandes — para travar hosts, contornar IDS/IPS ou causar negação de serviço.
Como funciona Ataque de fragmentação IP?
Os ataques de fragmentação IP exploram a forma como a stack de rede reassembla pacotes maiores que o MTU. Variantes: Teardrop (fragmentos sobrepostos que fazem crashar código de reassembly defeituoso), Tiny Fragment (cabeçalho L4 dividido por vários fragmentos para evitar filtros), Bonk e Jolt (fragmentos sobredimensionados ou com offset zero) e ataques de fragmentação IPv6 sobre cabeçalhos de extensão. Hoje o objetivo costuma ser evasão de IDS/IPS — dividir o payload para que as assinaturas não o vejam integral — ou DoS por amplificação via caches de fragmentos. Defesas: SO atualizado, descartar fragmentos não iniciais no perímetro quando possível, normalizar tráfego com IPS que reassembla e desativar fragmentação IPv6 se não necessária.
Como se defender contra Ataque de fragmentação IP?
As defesas contra Ataque de fragmentação IP costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Ataque de fragmentação IP?
Nomes alternativos comuns: Ataque Teardrop, Ataque tiny fragment, Evasão por fragmentação.
● Termos relacionados
- attacks№ 1135
Injeção de TCP Reset
Ataque que forja segmentos TCP RST correspondentes a uma ligação existente para que os endpoints a fechem abruptamente, quebrando ou sequestrando a sessão.
- attacks№ 865
Modo promíscuo
Modo de uma interface de rede em que a NIC entrega ao SO todas as tramas que vê no meio, permitindo sniffing passivo de tráfego num segmento partilhado ou espelhado.
- attacks№ 1060
Ataque Smurf
Ataque DDoS por amplificação legado que envia ICMP echo para o endereço de broadcast de uma rede com o IP da vítima falsificado, fazendo todos os hosts responderem à vítima.
- attacks№ 329
Ataque distribuído de negação de serviço (DDoS)
Ataque de negação de serviço lançado em simultâneo a partir de muitas fontes distribuídas — geralmente uma botnet — para saturar a largura de banda, a infraestrutura ou a aplicação do alvo.
- attacks№ 1122
Inundação SYN (SYN flood)
Ataque DoS baseado em TCP que envia muitos pacotes SYN sem completar o handshake de três vias, esgotando os recursos de estado de conexão do alvo.