Se rechazan los paquetes IP que tengan la opción de “explicit route”.
Comprueba intentos de denegación de servicios por loop de pila al detectar paquetes con direcciones remitente y destino iguales.
Controlando el estado de cada conexión y los tiempos de respuestas de las mismas detectamos la cantidad de conexiones entrantes que no se resuelven nunca, generando un aumento del control de estados hasta superar determinado límite, por lo que constituye un SynFlood. En este caso se deniegan nuevas conexiones. Si bien es posible que deneguemos nuevas conexiones legítimas, al menos se protege la integridad de las ya establecidas y de las conexiones salientes.
Se rechazan los paquetes UDP que llegan a un determinado puerto si exceden en cantidad a un número determinado en un periodo determinado.
Detector de port scanning para puertos TCP, es decir, detecta si un host intenta conectarse a varios puertos en un tiempo determinado. Detiene el ataque denegando las respuestas al host sospechoso. Adicionalmente filtra las respuestas para que el remitente ni siquiera obtenga respuesta de puerto cerrado.
Detecta paquetes TCP con combinaciones de flags inválidas. Actúa como complemento a las defensas de “Port Scanning” al detener ataques de este tipo como "SYN & FIN" y "NULL FLAGS" y a la de “OS identification” ya que muchas de estas pruebas se basan en respuestas a paquetes TCP inválidos.
IP: Se rechazan los paquetes entrantes con un tamaño de cabecera IP que se salga de los límites establecidos.
TCP: Se rechazan los paquetes entrantes con un tamaño de cabecera TCP que se salga de los límites establecidos.
Fragmentation control: Realiza comprobaciones sobre el estado de los fragmentos de un paquete a reensamblar, protegiendo de ataques de agotamiento de memoria por ausencia de fragmentos, redireccionado de ICMP disfrazado de UDP y scanning de máquina disponible.
Protección contra escaneo de puertos UDP.
Se rechazan las respuestas WINS que no se corresponden con peticiones que nosotros hemos enviado.
Se rechazan las respuestas DNS que no se corresponden con peticiones que nosotros hemos enviado.
Se rechazan las respuestas DHCP que no se corresponden con peticiones que nosotros hemos enviado.
Se rechazan las respuestas ARP que no se corresponden con peticiones que nosotros hemos enviado.
Este filtro implementa varias comprobaciones:
SmallPMTU: Mediante la inspección de los paquetes ICMP se detectan valores inválidos en PMTU utilizados para generar una denegación de servicio o ralentizar el tráfico saliente.
SMURF: Se rechazan las respuestas ICMP no solicitadas si estás superan una determinada cantidad en un segundo.
Drop unsolicited ICMP replies: Se rechazan todas las respuestas ICMP no solicitadas o que hayan sido caducadas por el timeout establecido.
Se rechazan los “pings” entrantes.
Falsea datos en respuestas al remitente para engañar a los detectores de sistemas operativos. Esta defensa se complementa con la de “TCP Flags Check”.