IPv4与IPv6业务-IP虚拟分片重组技术介绍-D.docx

， ， IPv4与IPv6业务 IP虚拟分片重组技术介绍 技术介绍 IPv4/IPv6 业务 IP 虚拟分片重组 IP 虚拟分片重组 为了避免每个业务模块（如：IPSec、NAT 和防火墙）单独处理后片先到（报文分片后）这种情况而导致复杂度过高，设备需要收到 IP 报文后就对分片报文进行虚拟分片重组。IP 虚拟分片重组功能可以对分片报文进行检验、排序和缓存，保证后续业务模块处理的都是顺序正确的分片报文。 同时，IP 虚拟分片重组功能还可以对下面几种分片攻击进行检测。如果检测到分片攻击，则设备会丢弃收到的分片报文，从而提高了设备的安全性。 Tiny Fragment 攻击：如果设备收到分片报文的首片长度非常小，并且传输层协议（如：TCP、UDP）头字段放在第二个分片中，则认为是受到了 Tiny Fragment 攻击； Overlapping Fragment 攻击：如果设备收到了完全相同的分片报文，或者收到的分片报文与其前一分片或后一分片出现重叠时，则认为是受到了Overlapping Fragment 攻击； Fragment-flood 攻击：如果设备收到的分片报文超过了指定的最大分片报文数或者设备上创建的分片队列个数超过了指定的最大分片队列个数，则认为是受到了 Fragment-flood 攻击。 1 全文完