フラグメントされたIPパケットをブロックするか（説明済み）

フラグメント化されたIPパケットをブロックする

断片化されたIPパケットをブロックする必要がある場合があります。 これは、断片化されたIPパケットが有効になると、信号の問題や接続性の低下を引き起こす可能性があるためです。 ゲームやメディアコンソールを使用する際に、断片化されたIPパケットをブロックする主な理由はこれです。 では、断片化したIPパケットのブロック方法を確認しましょう。

IPフラグメンテーション

IPフラグメンテーションは、IPデータグラムをより小さなパケットに分割する通信プロセスです。 これらのパケットは、ネットワーク接続を経由して送信され、再び組み立てられます。

しかし、データ通信には断片化が不可欠であり、これらのネットワークでは処理可能なデータグラムサイズに独自の制限があります。 この制限はしばしばMTUと呼ばれます。 データグラムのサイズがサービスのMTUより大きい場合、シームレスな伝送のために断片化する必要があります。

攻撃の種類

IPフラグメント攻撃と一口に言っても、その形態は様々です。 まず、ICMPやUDPフラグメント攻撃は、パケットの不正送信（ICMPやUDPパケット）で構成されています。 これは、パケットがネットワークのMTUより大きい場合に起こります。 パケットが不正であるため、対象サービスのリソースが消費されることになります。

次に、Teardropとも呼ばれるTCPフラグメンテーション攻撃があります。 データパケットが重なりやすく、サーバーを威嚇してしまい、サーバーが故障してしまいます。 この攻撃を止めるためのパッチが存在します。

フラグメントされたIPパケットをブロックする

断片化したIPパケットをブロックする必要がある皆さんのために、このセクションで詳細を説明しました。 しかし、断片化したIPパケットをブロックする前に、IP保護について理解する必要があります。 このため、ユーザーは最初に画面の設定を行う必要があります。 画面の設定はIPv4でのみ利用可能です。

画面の設定が完了したら、セキュリティゾーンとデバイスの設定を行う必要があります。 そして、デバイスの設定が完了したら、ユーザーが設定をコミットする必要があります。 最後になりますが、設定が完了すると、断片化したIPパケットをブロックするようになります。

IPパケットのフラグメントによるネットワークの問題を確認する

断片化されたIPパケットに起因するネットワークや接続性の問題はありますが、ホスト同士がpingで接続できたり、ポートやサービスがtelnetでアクセス可能であったりする場合は、概略がわかります。 また、アプリケーションの問題、ページの読み込みの問題、ホストのハングアップがある場合は、断片化されたIPパケットがネットワーク問題を引き起こしている可能性があります。

このような問題がある場合、IPパケットの断片化があると言えます。 一方、確信が持てない場合は、ネットワーク経路を検査できるネットワークアナライザを使用することができます。

IPパケットのフラグメントを回避する

IPパケットの断片化を避けるためには、ネットワークに送信するIPパケットのサイズを確認する必要があります。 そのために、MSSとパスMTU発見があります。 まず、パスMTU発見は、パケットの断片化を防ぐため、エンドツーエンドでMTUを概算します。 また、ISMPパケットを最適な送信先に送信します。

次に、最大セグメントサイズとして知られるMSSを設定することで、受信パケットの検査が確実に行われます。 ユーザーは、断片化を要求しないMTU値を設定する必要があります。 MSS設定は、IPパケットの断片化を確実に回避するためのMTUよりも小さくする必要があります。 ただし、パフォーマンスの問題につながるので、小さすぎないようにします。

フラグメンテーション・オブ・IP攻撃からの脱却

IPの断片化攻撃は、パフォーマンスやネットワーク接続の問題につながると思われるかもしれませんが、セキュリティの問題にもつながります。 これは、IPパケットの断片化攻撃がDDoS攻撃の一形態であるためです。 IPの断片化攻撃は、ICMPやUDP断片化攻撃の観点から悪用することができます。

一方、フラグメンテーションを悪用したTCP攻撃も存在します。 これらのフラグメンテーション攻撃は、IPやTCPの問題につながります。 しかし、データパケットを検査することで、IP攻撃のフラグメンテーションがあるかどうかを確認することができます。