El “Tiny Fragment Attack” (ataque de fragmentos diminutos) es una técnica utilizada por atacantes informáticos para eludir las reglas de filtrado de paquetes en redes IP. Esta técnica aprovecha el hecho de que muchas implementaciones del protocolo IP permiten establecer un tamaño de fragmento inusualmente pequeño en los paquetes salientes.

Mecanismo de ataque

Cuando el tamaño del fragmento se reduce hasta el punto de forzar que algunos campos del encabezado TCP de un paquete TCP queden en el segundo fragmento, las reglas de filtrado que especifican patrones para esos campos no logran detectarlos. En otras palabras, si la implementación del filtrado no impone un tamaño mínimo de fragmento, un paquete no permitido podría pasar porque no coincidió con ninguna regla del filtro.

Especificaciones técnicas

Según el estándar STD 5, RFC 791, cada módulo de Internet debe ser capaz de reenviar un datagrama de 68 octetos sin fragmentación adicional. Esto se debe a que un encabezado de Internet puede tener hasta 60 octetos, y el fragmento mínimo es de 8 octetos.

Implicaciones de seguridad

El ataque mediante fragmentos diminutos representa una amenaza significativa para la seguridad de las redes. Los administradores de red deben ser conscientes de esta vulnerabilidad y adoptar medidas para contrarrestarla. Una de las estrategias es imponer un tamaño mínimo de fragmento en los filtros de paquetes para garantizar que todas las partes relevantes del encabezado TCP estén contenidas en un solo fragmento y puedan ser analizadas correctamente.

Mitigación

Para mitigar el riesgo de un Tiny Fragment Attack, es recomendable:

1. Configurar los dispositivos de red para rechazar fragmentos demasiado pequeños.
2. Actualizar los sistemas de filtrado para reconocer y gestionar los paquetes fragmentados de forma segura.
3. Implementar políticas de seguridad que incluyan el control del tamaño mínimo de los fragmentos.

En conclusión, el Tiny Fragment Attack es una técnica sofisticada pero conocida que puede abordarse con medidas de seguridad adecuadas y una configuración correcta de los dispositivos de red.