2. IP 단편화(Fragmentation)

정보보안기사

[정보보안기사] 네트워크 보안 — IP 단편화(Fragmentation) 보안 포인트

MTU, DF/MF, Fragment Offset 등 단편화 필드 의미와 분석 포인트를 한 번에 정리합니다.

분류 네트워크 보안키워드 MTU/Fragment목표 필드 이해

직접 제작한 개념도: 단편화 조각과 MF/Offset 의미(예시)

IP 단편화가 발생하는 이유

패킷 크기가 링크의 MTU를 초과하면 IP 계층에서 데이터를 여러 조각으로 나눌 수 있습니다.

• 단편화는 재조립 비용/지연이 생기므로 가능하면 회피(PMTUD 등)하는 편이 일반적입니다.
• 실습에서는 큰 페이로드로 단편화를 의도적으로 유도해 필드를 확인합니다.

헤더 필드: Identification / Flags / Fragment Offset

• Identification: 조각들이 원래 하나의 데이터였음을 묶는 식별자입니다(조각끼리 동일).
• DF: 단편화 금지. DF가 켜진 패킷은 중간에서 쪼갤 수 없고, MTU 초과 시 드롭/ICMP 메시지로 이어질 수 있습니다.
• MF: 뒤에 조각이 더 있는지 표시합니다(MF=0이면 마지막 조각).
• Fragment Offset: 조각 데이터의 시작 위치를 나타내며, 8바이트 단위로 표현됩니다.

핵심
MF와 Offset만 제대로 이해해도, 캡처에서 단편화 해석이 훨씬 쉬워집니다.

실습/분석 포인트(캡처 관점)

조각들을 캡처에서 확인할 때는 다음을 체크합니다.

• 동일 Identification 값으로 묶이는지
• 첫 조각 Offset=0인지
• 마지막 조각 MF=0인지
• 재조립이 정상 수행되는지(수신 측/보안장비 동작 포함)

# Windows 예시(페이로드 크게)
ping -l 3000 [대상 IP]

보안 관점(우회/DoS와 연결)

• 단편화 조작으로 필터링/탐지를 우회하려는 시도가 있습니다(첫 조각만 검사/재조립 실패 악용 등).
• 겹치는 Offset, 비정상 길이 조합으로 재조립 오류를 유발해 DoS를 노리는 패턴이 알려져 있습니다.
• 보안장비의 재조립 정책/튜닝이 중요하며, 성능과 보안 사이 균형을 잡아야 합니다.

용어 · 레퍼런스(요약)

본문에서는 흐름 이해에 집중하고, 용어는 아래에서 짧게 정리해 드립니다.

용어	한 줄 정리	더 깊게 보기
MTU	한 번에 전송 가능한 최대 크기 기준입니다.	PMTUD 문서
DF/MF	단편화 금지/추가 조각 여부 플래그입니다.	IP 헤더 설명
Fragment Offset	조각 데이터 시작 위치(8바이트 단위)입니다.	Wireshark 필드 설명
Reassembly	수신 측에서 원본으로 합치는 과정입니다.	OS 네트워크 스택 문서

참고 레퍼런스

• RFC 791 — Internet Protocol(IPv4) 헤더/단편화
• Wireshark — IPv4 Fragmentation 필드 해설
• Linux IP 스택 문서 — 재조립 동작
• 보안장비 벤더 가이드 — Fragment reassembly/정책 튜닝