Tiny Fragment Attack

Bei vielen IP-Implementierungen ist es möglich, eine ungewöhnlich kleine Fragmentgröße für ausgehende Pakete festzulegen. Wenn die Fragmentgröße klein genug gemacht wird, um einige der TCP-Header-Felder eines TCP-Pakets in das zweite Fragment zu zwingen, werden Filterregeln, die Muster für diese Felder angeben, nicht übereinstimmen. Wenn die Filterimplementierung keine minimale Fragmentgröße erzwingt, könnte ein nicht zugelassenes Paket durchgelassen werden, weil es keine Übereinstimmung im Filter gab. STD 5, RFC 791 besagt: Jedes Internet-Modul muss in der Lage sein, ein Datagramm von 68 Oktetten ohne weitere Fragmentierung weiterzuleiten. Dies liegt daran, dass ein Internet-Header bis zu 60 Oktetten betragen kann und das minimale Fragment 8 Oktetten beträgt.