Fragment-Overlapping, das

Ein einfacher aber wirkungsvoller Denial of Service-Angriff, der IP-Fragmentierung ähnlich wie der "Ping of Death" ausnutzt, ist die sogenannte "overlapping fragment attack" nach RFC 1858 (Security Considerations for IP Fragment Filtering); Auch diese Attacke wurde gegen Ende 1997 besonders oft gesichtet und wurde als teardrop.c bekannt.

Die derzeitige Internet-Protokoll Spezifikation RFC 791 (Internet Protocl) beschreibt einen Reassemblierungs-Algorithmus, der neue Fragmente produziert und dabei jeden überlappenden Teil der zuvor erhaltenen Fragmente überschreibt. Wird ein solcher Algorithmus angewendet, so kann ein Angreifer eine Folge von Paketen konstruieren, in denen das erste Fragment (mit einem Offset der Länge Null) harmlose Daten beinhaltet (und dadurch von einem Paketfilter weitergeleitet werden kann). Ein beliebiges nachfolgendes Paket mit einem Offset, der größer als Null ist, könnte TCP-Header-Informationen (z.B. destination port) überlappen. Diese würden durch den Algorithmus modifiziert (überschrieben). Dieses zweite Paket wird von vielen Paketfiltern nicht gefiltert. Gegenmaßnahme hierzu ist, Paketfilter zu verwenden, die ein Minimum an Fragment Offset für Fragmente verlangen. Nur wenige neuere TCP/IP-Stacks erkennen dieses Problem und korrigieren dieses.