Blokovanie fragmentovaných IP paketov? (Vysvetlenie)

blokovanie fragmentovaných paketov ip

Existujú prípady, keď ľudia potrebujú blokovať fragmentované pakety IP. Je to preto, že keď sú fragmentované pakety IP povolené, môže to mať za následok problémy so signálom a stratu pripojenia. To je hlavný dôvod, prečo ľudia blokujú fragmentované pakety IP, keď musia hrať hry alebo používať mediálne konzoly. Pozrime sa teda, ako možno blokovať fragmentované pakety IP.

Fragmentácia IP

V priebehu času sú útoky na fragmentáciu IP pomerne časté. Tieto útoky často využívajú procesy fragmentácie. Fragmentácia IP je vlastne komunikačný proces, pri ktorom sa datagramy IP zmenšujú na menšie pakety. Tieto pakety sa prenášajú cez sieťové spojenie a opäť sa zostavujú.

Vzhľadom na to je fragmentácia nevyhnutnou súčasťou prenosu dát a tieto siete majú jedinečný limit pre veľkosť datagramu, ktorý možno spracovať. Tento limit sa často označuje ako MTU. V prípade, že má datagram veľkosť väčšiu ako MTU služby, musí sa pre bezproblémový prenos fragmentovať.

Typy útokov

Pokiaľ ide o fragmentačné útoky IP, k dispozícii sú rôzne formy. Na začiatku fragmentačné útoky ICMP a UDP zahŕňajú podvodný prenos paketov (ICMP alebo UDP). K tomu dochádza, keď sú pakety väčšie ako MTU siete. Keďže sú pakety podvodné, spotrebujú sa zdroje cieľovej služby.

Po druhé, existujú fragmentačné útoky TCP, ktoré sú známe aj pod názvom Teardrop. Dátové pakety majú tendenciu sa prekrývať a zastrašia server a ten zlyhá. Existujú záplaty na zastavenie týchto útokov.

Blokovanie fragmentovaných paketov IP

Pre všetkých, ktorí potrebujú blokovať fragmentované pakety IP, sme v tejto časti uviedli podrobnosti. Pred blokovaním fragmentovaných paketov IP však musia pochopiť ochranu IP. S tým, že používatelia musia v prvom rade nakonfigurovať obrazovku. Konfigurácia obrazovky je k dispozícii len pre IPv4.

Po konfigurácii obrazovky je potrebné nakonfigurovať bezpečnostnú zónu a zariadenie. Potom, keď je konfigurácia zariadenia dokončená, musia používatelia potvrdiť konfiguráciu. V neposlednom rade sa po dokončení konfigurácie zablokujú fragmentované pakety IP.

Kontrola sieťových problémov spôsobených fragmentovanými paketmi IP

Ak ide o fragmentované pakety IP, vyskytnú sa problémy s výkonom siete a pripojením. Môže sa však tiež načrtnúť, ak sa hostiteľ môže navzájom pingovať a port alebo služba môžu byť prístupné prostredníctvom telnetu. Okrem toho, ak sa vyskytnú problémy s aplikáciami, načítavaním stránok a visiacim hostiteľom, je pravdepodobné, že fragmentované pakety IP spôsobujú problémy so sieťou.

V prípade, že sa vyskytnú takéto problémy, môžete povedať, že ide o fragmentované pakety IP. Na druhej strane, ak si nie ste istí, môžete použiť sieťový analyzátor, pretože dokáže skontrolovať sieťovú cestu.

Vyhýbanie sa fragmentovaným paketom IP

Pre ľudí, ktorí sa potrebujú vyhnúť fragmentovaným paketom IP, musia používatelia skontrolovať veľkosť paketov IP na odoslanie siete. Na tento účel existuje MSS a zisťovanie MTU cesty. Predovšetkým zisťovanie MTU cesty pomáha načrtnúť MTU end-to-end, pretože zabraňuje fragmentácii paketov. Okrem toho posiela pakety ISMP do optimálneho cieľa.

Po druhé, nastavenie MSS, ktorá je známa ako maximálna veľkosť segmentu, zabezpečí, aby sa prichádzajúce pakety kontrolovali. Používatelia musia nastaviť hodnotu MTU, ktorá nevyžaduje fragmentáciu. Nastavenie MSS musí byť menšie ako MTU, aby sa zabezpečilo, že sa zabráni fragmentácii paketov IP. Nesmie však byť príliš malé, pretože to môže viesť k problémom s výkonom.

Zbavenie sa fragmentácie útokov IP

Mohlo by sa zdať, že útoky fragmentácie IP povedú k problémom s výkonom a pripojením k sieti. Môžu však viesť aj k problémom s bezpečnosťou. Je to preto, že útoky fragmentácie paketov IP sú formou útokov DDoS. Útoky fragmentácie IP sa dajú využiť v zmysle útokov fragmentácie ICMP a UDP.

Na druhej strane existujú aj útoky TCP, ktoré môžu využívať fragmentáciu. Tieto fragmentačné útoky môžu viesť k problémom s protokolmi IP a TCP. Dátové pakety však možno kontrolovať, či nedochádza k fragmentácii útokov IP.