Packet fragmentation akan memecah probe packet menjadi beberapa packet yang lebih kecil. Umumnya ketika mencapai IDS/Firewall, packet akan dikumpulkan dan diproses satu persatu. Namun proses ini akan memakan resource yang besar, jadi banyak IDS/Firewall akan melewati fragmentations packet.
Oleh karena itu, attacker menggunakan packet fragmentation tools seperti nmap dan fragroute, untuk menghindari IDS/Firewall, dan ketika paket sudah terkumpul ditarget host, akan disusun kembali menjadi satu packet utuh.
SYN/FIN menggunakan IP Fragments
Merupakan modifikasi dari method yang sudah dibahas sebelumnya. Berguna untuk mencegah false positive yang karena proses filtering pada target system.
TCP header dipecah menjadi beberapa packet untuk menghindari packet filter. Untuk setiap transmisi, setiap TCP header harus memiliki source dan destination port untuk initial packet. Flag pada paket berikutnya memungkinkan target host untuk menyusun kembali packet yang diterima melalui internet protocol module yang mendeteksi fragmented data packets menggunakan field-equivalent dari source, destination. protocol dan identification.
Namun penyusunan ulang ini dapat menyebabkan hasil yang tidak bisa diprediksi dan abnormal, seperti fragmentation dari IP header data. Host tertentu dapat saja gagal parsing dan menyusun ulang fragmented packet, yang bisa menyebabkan crash, reboot atau bahkan network monitoring dumps.
Firewall tertentu dapat mengatur rule untuk memblokir IP fragmentation queue pada kernel, contoh opsi CONFIG_IP_ALWAYS_DEFRAG pada Linux Kernel, namun hal ini kurang umum diimplementasikan karena buruk untuk performa.
Karena banyak IDS menggunakan metoda signature-based untuk mendeteksi usaha scanning, penggunaan fragmentation umumnya dapat menghindari IDS/Firewall, jadi meningkatkan keberhasilan dalam melakukan scanning pada target host.
