Rechaza los paquetes IP que tengan la opción de “explicit route”. Son paquetes IP que no se encaminan en función de su dirección IP de destino, en su lugar la información de encaminamiento es fijada de ante mano.

Comprueba intentos de denegación de servicios mediante bucles infinitos de pila TCP/IP al detectar paquetes con direcciones origen y destino iguales.

Controla los el numero de inicios de conexiones TCP por segundo para no comprometer los recursos del equipo atacado. Pasado cierto limite las conexiones se rechazan.

Detecta conexiones simultáneas a varios puertos del equipo protegido en un tiempo determinado y filtra tanto la petición de apertura como la respuesta al equipo sospechoso, para que el origen del tráfico de escaneo no obtenga información del estado de los puertos.

Detecta paquetes TCP con combinaciones de flags inválidas. Actúa como complemento a las defensas de “Port Scanning” al detener ataques de este tipo, tales como “SYN & FIN” y “NULL FLAGS” y los de “OS identification” ya que muchas de estas pruebas se basan en respuesta a paquetes TCP inválidos.

• IP: rechaza los paquetes entrantes con un tamaño de cabecera IP que se salga de los límites establecidos.

• TCP: rechaza los paquetes entrantes con un tamaño de cabecera TCP que se salga de los límites establecidos.

• Fragmentation control: comprueba el estado de los fragmentos de los paquetes a reensamblar, protegiendo al equipo de ataques por consumo excesivo de memoria en ausencia de fragmentos, del redireccionado de ICMP disfrazado de UDP y del escaneo de equipos.

Rechaza los paquetes UDP que llegan a un determinado puerto si superan un limite en un periodo establecido.

Protección contra escaneo de puertos UDP.

Rechaza las respuestas WINS que no se corresponden con peticiones que el equipo ha solicitado.

Rechaza las respuestas DNS que no se corresponden con peticiones que el equipo ha solicitado.

Rechaza las respuestas DHCP que no se corresponden con peticiones que el equipo ha solicitado.

• SmallPMTU: detecta valores inválidos en el tamaño de los paquetes ICMP para generar una denegación de servicio o ralentizar el tráfico saliente.

• SMURF: rechaza las respuestas ICMP no solicitadas si estás superan un limite en un intervalo. Este tipo de ataque envía grandes cantidades de tráfico ICMP (echo request) a la dirección de broadcast de la red con la dirección de origen cambiada (spoofing) apuntando a la dirección de la víctima. La mayoría de los equipos de la red responderán a la víctima, multiplicando el tráfico por cada equipo de la subred.

• Drop unsolicited ICMP replies: rechaza todas las respuestas ICMP no solicitadas o que han expirado por el timeout establecido.

Rechaza las peticiones de Echo request.

Rechaza las respuestas ARP que no se corresponden con peticiones que el equipo protegido ha solicitado para evitar escenarios de tipo ARP caché poison.