Lo primero, ¿qué es un Ataque de Fragmentación?

Es un tipo de ataque de red que utiliza paquetes fragmentados para intentar saltarse las ACLs y aumentar el uso de recursos del router. Esto se debe a que el router intentará reensamblar los paquetes antes de procesarlos.

Ahora, ¿cómo protegemos nuestra red contra esto?

Las ACLs de Cisco tienen una palabra clave mágica que cambia el comportamiento del dispositivo para paquetes fragmentados. Esta palabra clave es fragments.

Entonces, supongamos que uno de nuestros routers está bajo un ataque de fragmentación y queremos detenerlo. Tenemos que crear una ACL en la interfaz de entrada denegando los paquetes fragmentados y permitiendo todo el resto del tráfico. Así:

R3#
R3# en
R3# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R3(config)# ip access-list ext frag
R3(config-ext-nacl)# deny ip any any fragments
R3(config-ext-nacl)# permit ip any any
R3(config-ext-nacl)# exit
R3(config)# int s0/0/0.123
R3(config-subif)# ip access-group frag in

Ahora tenemos nuestro router denegando todos los paquetes fragmentados que entran por Serial0/0/0.123 y permitiendo el tráfico normal. Podemos ver los hits de ACL creciendo.

R3(config-subif)# do sh ip access-l
Extended IP access list frag
    10 deny ip any any fragments (16 matches)
    20 permit ip any any (5 matches)

Hay más opciones en el procesamiento de paquetes de fragmentos. Podríamos añadir una política CPP para limitar la velocidad de este tipo de tráfico. Esto será necesario si el router es un dispositivo de terminación IPsec, que a menudo maneja paquetes fragmentados.

Se puede encontrar más información sobre el procesamiento de paquetes fragmentados ACL aquí: http://www.cisco.com/en/US/tech/tk826/tk369/technologies_white_paper09186a00800949b8.shtml