IP Fragment攻击是一种基于数据碎片的攻击手段，攻击者通过恶意操作，发送极小的分片来绕过包过滤系统或者入侵检测系统，可将TCP报头(通常为20字节)分布在2个分片中，这样一来，目的端口号可以包含在第二个分片中。IP报文中，与报文分片有关的几个字段是：DF（Don’t Fragmentate）位、MF 位，Fragment Offset、Length。DF和MF就是前面提到3位标识位中的第二和第三位，Fragment Offset就是“13位分片偏移”字段，Length就是“16位报文总长度”字段。如果上述字段的值出现矛盾，而设备处理不当，会对设备造成一定的影响，甚至瘫痪。Ip-fragment就是故意制造这种存在字段上相互矛盾的报文进行攻击的。

图片来源网络，如有侵权请联系删除

那我们要怎么做才能预防Ip-fragment攻击呢？

1、对于包过滤设备或者入侵检测系统来说，首先通过判断目的端口号来采取允许/禁止措施。但是由于通过恶意分片使目的端口号位于第二个分片中，因此包过滤设备通过判断第一个分片,决定后续的分片是否允许通过。但是这些分片在目标主机上进行重组之后将形成各种攻击。通过这种方法可以迂回一些入侵检测系统及一些安全过滤系统。

2、利用扩展ACL防止IP Fragment攻击，命令如下：

access-list 101 permit/deny <协议> <源> <目的> fragment   '在命令后加个fragment就行了。特别注意的是，带有四层信息的ACL和带Fragment的ACL结合在一起用效果会更好的

3、提高企业安全管理员的技术程度，有效保证及时发现IP Fragment攻击，及时制止。