攻击介绍：

IP报文中有几个字段与分片有关：DF位、MF位，Fragment Offset 、Length 。

如果上述字段的值出现矛盾，而设备处理不当，会对设备造成一定的影响，甚至瘫痪。

矛盾的情况有：

DF位被置位，而MF位同时被置位或Fragment Offset不为0；

DF位为0，而Fragment Offset + Length > 65535。

处理方法：

若分片报文的目的地址为本防火墙，则直接丢弃；

检查IP报文中与分片有关的字段（DF位、MF位、片偏置量、总长度）是以下问题：

DF位为1，且MF位也为1。

DF位为1，且Offset > 0。

DF位为0，且分片 Offset + Length > 65535。

配置：

firewall defend ip-fragment enable