Der „Tiny Fragment Attack“ ist eine Technik, die von Cyberangreifern verwendet wird, um Paketfilterregeln in IP-Netzwerken zu umgehen. Diese Technik nutzt die Tatsache aus, dass viele Implementierungen des IP-Protokolls es ermöglichen, eine ungewöhnlich kleine Fragmentgröße für ausgehende Pakete festzulegen.

Angriffsmechanismus

Wenn die Fragmentgröße so weit reduziert wird, dass einige Felder des TCP-Headers eines TCP-Pakets in das zweite Fragment gezwungen werden, können Filterregeln, die Muster für diese Felder spezifizieren, sie nicht erkennen. Mit anderen Worten: Wenn die Filterimplementierung keine Mindestgröße für Fragmente vorschreibt, könnte ein unzulässiges Paket durchgelassen werden, da es mit keiner Filterregel übereinstimmt.

Technische Spezifikationen

Gemäß dem Standard STD 5, RFC 791, muss jedes Internet-Modul in der Lage sein, ein Datagramm von 68 Oktetten ohne weitere Fragmentierung weiterzuleiten. Dies liegt daran, dass ein Internet-Header bis zu 60 Oktette groß sein kann und das kleinste Fragment 8 Oktette umfasst.

Sicherheitsimplikationen

Der Angriff durch winzige Fragmente stellt eine erhebliche Bedrohung für die Netzwerksicherheit dar. Netzwerkadministratoren müssen sich dieser Schwachstelle bewusst sein und Maßnahmen zu ihrer Bekämpfung ergreifen. Eine Strategie besteht darin, in Paketfiltern eine Mindestgröße für Fragmente vorzuschreiben, um sicherzustellen, dass alle relevanten Teile des TCP-Headers in einem einzigen Fragment enthalten sind und korrekt analysiert werden können.

Mitigation

Um das Risiko eines Tiny Fragment Attacks zu mindern, ist es ratsam:

1. Netzwerkgeräte so zu konfigurieren, dass zu kleine Fragmente abgelehnt werden.
2. Filtersysteme zu aktualisieren, damit sie fragmentierte Pakete sicher erkennen und verarbeiten können.
3. Sicherheitsrichtlinien zu implementieren, die die Kontrolle der Mindestfragmentgröße beinhalten.

Zusammenfassend lässt sich sagen, dass der Tiny Fragment Attack eine raffinierte, aber bekannte Technik ist, der mit angemessenen Sicherheitsmaßnahmen und einer korrekten Konfiguration der Netzwerkgeräte begegnet werden kann.