IP分片（IP fragment attack）

所谓Tiny fragment攻击是指通过恶意操作，发送极小的分片来绕过包过滤系统或者入侵检测系统的一种攻击手段。攻击者通过恶意操作，可将TCP报头(通常为20字节)分布在2个分片中，这样一来，目的端口号可以包含在第二个分片中。

　　对于包过滤设备或者入侵检测系统来说，首先通过判断目的端口号来采取允许/禁止措施。但是由于通过恶意分片使目的端口号位于第二个分片中，因此包过滤设备通过判断第一个分片,决定后续的分片是否允许通过。但是这些分片在目标主机上进行重组之后将形成各种攻击。通过这种方法可以迂回一些入侵检测系统及一些安全过滤系统。

IP分片的理解

IP协议在传输数据包时，将数据报文分为若干分片进行传输，并在目标系统中进行重组。这一过程称为分片（ fragmentation）。 IP 分片（Fragmentation）发生在要传输的IP报文大小超过最大传输单位MTU(Maximum Transmission Unit)的情况。比如说，在以太网（Ethernet）环境中可传输最大IP报文大小（MTU）为1500字节。如果要传输的报文大小超过1500字节，则需要分片之后进行传输。由此可以看出，IP分片在网络环境中是经常发生的事件。但是，如果经过人为的恶意操作的分片，将会导致拒绝服务攻击或者迂回路由器、防火墙或者网络入侵检测系统（NIDS）的一种攻击手段。

为到达目标主机之后能够正常重组，各分片报文具有如下信息：

* 各IP分片基于IP分片识别号进行重组，识别号相同的重组为相同的IP报文。IP分片识别号长度为16位，叫做“IP identification number”或者“fragment ID”。

* 各分片具有从原始报文进行分片之前的分片偏移量以确定其位置。

* 各分片具有分片数据长度，其中20字节IP包头不包含在该数据长度中。即，传输1500字节的数据时，实际数据长度为1480(1500-20)字节。

* 当每个分片之后还存在后续的分片时，该分片的ME(More Fragment)标志位为1。