Vad är en IP-fragmenteringsattack?

Hackare har använt denna typ av cyberattack i många år. Även om internetleverantörerna har mycket bättre medel för att förhindra det nu för tiden, använder cyberbrottslingar det fortfarande på en bred skala.

Nedan kommer vi att förklara hur det fungerar och metoderna du kan använda dig av för att förhindra det.

För att förstå IP-fragmenteringsattacker måste du förstå IP-fragmentering och för att förstå IP-fragmentering måste du förstå paketförmedling.

• De flesta enheter skickar data i IP-paket av en viss storlek. Detta kallas paketförmedling.
• Paketförmedling kan vara anslutningsbaserad eller anslutningslös. Anslutningsbaserad paketförmedling levererar och tar emot data i en förutbestämd ordning och upprättar en kommunikationsrutt i förväg.
• Anslutningslös paketförmedling är när varje datapaket är självförsörjande och dirigeras oberoende av varandra, i stället för via en förutbestämd rutt. Dessa paket kallas datagram. Datagram färdas i slumpmässig ordning. På grund av denna mindre strukturerade kommunikationsmetod kan de användas för att starta attacker på servrar.

IP-fragmentering är en process där ett datagram delas upp i mindre informationssegment som kallas för paket. Dessa måste vara av en viss storlek så att de mottagande parterna kan bearbeta dem och överföra data framgångsrikt. Du kan tänka på detta ungefär som ett skrivbord – du kan bara lasta så mycket saker som ryms på bordet, innan saker börjar falla av.

Alla dessa paket sätts sedan ihop igen av den mottagande parten så att de kan förstå de data de har fått. Om datagrammet är för stort kan en server antingen släppa iväg det eller fragmentera om paketet.

En IP-fragmenteringsattack använder IP-fragmentering för att störa tjänster eller inaktivera enheter. Detta kallas för en ”Denial of Service”-attack (DDoS attack).

Det finns många olika former av IP-fragmenteringsattacker. Det innebär i allmänhet att skicka datagram som kommer att vara omöjliga att sätta ihop igen vid leverans. Målet är att missbruka servrarnas resurser och hindra dem från att utföra de operationer de ska utföra.

Det här är några av de mest använda IP-fragmenteringsattackerna:

Liten fragmenteringsattack

Varje IP-paket består av en filetikett och en nyttolast. Filetiketten innehåller den information som leder paketet till dess destination, medan nyttolasten är den datamängd som paketet transporterar till destinationen.

En liten fragmenteringsattack inträffar när ett litet paketfragment tar sig in i servern. Detta händer när ett av fragmenten är så litet att det inte ens får plats med en egen filetikett. En del av paketets filetikett skickas som ett nytt fragment. Detta kan orsaka problem med att sätta ihop paketet och stänga av en server.

UDP och ICMP fragmenteringsattacker

I dessa attacker översvämmar servrar med överdimensionerade eller på annat sätt skadade paket som de måste avvisa. Detta kan snabbt överbelasta en servers resurser och hindra den från att utföra sina avsedda operationer.

TCP fragmenteringsattacker

TCP-attacker kallas också för Teardrop-attacker och använder paket som är utformade för att vara omöjliga att sätta ihop igen vid leverans. De kan vara ofullständiga eller överlappande. Det är vanligtvis inriktat på defragmentering eller säkerhetssystem.

Utan rätt skydd kan dessa paket orsaka att ett operativsystem fryser eller kraschar eftersom det inte kan bearbeta dem.

Du kan minimera risken för en IP-fragmenteringsattack genom att använda någon av följande metoder:

1. Inspektera inkommande paket med hjälp av en router, en säker proxyserver, brandväggar eller intrångsdetekteringssystem.
2. Kontrollera att operativsystemet är uppdaterat och att alla de senaste säkerhetsuppdateringarna är installerade.
3. Du kan blockera fragmenterade IP-paket genom att avbryta förbindelsen med alla som skickar dem. Vissa oskyldiga anslutningar (t.ex. mobila enheter) använder dock fragmenterade paket, så om du stänger av dem kan det orsaka störningar för din mobila trafik.

En flerskiktad metod fungerar bäst i det här fallet. Vi rekommenderar att du använder de två första metoderna för bäst balans mellan skydd och anslutningsmöjligheter.