Envie alguns pacotes com um TTL suficiente para chegar ao IDS/IPS, mas não o suficiente para chegar ao sistema final. Em seguida, envie outros pacotes com as mesmas sequências dos outros para que o IPS/IDS pense que são repetições e não os verifique, mas na verdade estão carregando o conteúdo malicioso.
Os sensores geralmente não calculam o checksum por motivos de desempenho. Então, um atacante pode enviar um pacote que será interpretado pelo sensor, mas rejeitado pelo host final. Exemplo:
Envie um pacote com a flag RST e um checksum inválido, para que o IPS/IDS pense que este pacote está prestes a fechar a conexão, mas o host final descartará o pacote, pois o checksum é inválido.
Um sensor pode ignorar pacotes com determinadas flags e opções definidas nos cabeçalhos IP e TCP, enquanto o host de destino aceita o pacote ao recebê-lo.
É possível que, ao fragmentar um pacote, exista algum tipo de sobreposição entre os pacotes (talvez os primeiros 8 bytes do pacote 2 se sobreponham aos últimos 8 bytes do pacote 1, e os últimos 8 bytes do pacote 2 se sobreponham aos primeiros 8 bytes do pacote 3). Então, se o IDS/IPS os reagrupar de maneira diferente do host final, um pacote diferente será interpretado.\
Ou talvez, 2 pacotes com o mesmo deslocamento cheguem e o host tenha que decidir qual deles ele pega.
