Denne artikel er en spejling af maskinoversættelse, klik venligst her for at springe til den oprindelige artikel.

Architect_Programmer_Code Landbrugsnetværk»Arkitekt Andre teknologier Windows/Linux Forskellen mellem DROP og AFVISNING
Udsigt: 11350|Svar: 0

[linux] Forskellen mellem DROP og AFVISNING

[Kopier link]
Opslået på 02/02/2016 10.33.58 | | |

Der er to typer politikhandlinger i firewallen: DROP og REJECT, og forskellene er som følger:
1. DROP-handlingen er simpelthen at kassere dataene direkte uden feedback på noget svar. Hvis klienten venter på timeout, kan klienten nemt blive blokeret af firewallen.
2. AFVISNINGSHANDLINGEN returnerer en afvist (termineret) pakke (TCP FIN eller UDP-ICMP-PORT-UNREACHABLE) mere høfligt og afviser eksplicit den anden parts forbindelseshandling. Forbindelsen afbrydes straks, og klienten tror, at den tilgåede vært ikke eksisterer. REJECT har nogle returparametre i IPTABLES, såsom ICMP port-unreachable, ICMP echo-reply eller tcp-reset (denne pakke vil bede den anden part om at slukke forbindelsen).

Der er ikke entydigt besluttet, om det er passende at bruge DROP eller REJECT, da begge faktisk er relevante. REJECT er en mere compliant type
og lettere at diagnosticere og fejlfinde netværks-/firewallproblemer i et kontrolleret netværksmiljø; Og DROP leverer
Højere firewall-sikkerhed og små effektivitetsgevinster, men muligvis på grund af den ikke-standardiserede (ikke meget overensstemmende TCP-forbindelsesspecifikation) håndtering af DROP
Det kan forårsage nogle uventede eller svære at diagnosticere problemer med dit netværk. For selvom DROP ensidigt afbryder forbindelsen, vender den ikke tilbage til kontoret
Derfor vil forbindelsesklienten passivt vente, indtil TCP-sessionen går ud på timeout, for at afgøre, om forbindelsen er succesfuld, for at fremme virksomhedens interne netværk
Nogle klientprogrammer eller applikationer kræver IDENT-protokolunderstøttelse (TCP Port 113, RFC 1413), hvis du forhindrer det
Hvis firewallen anvender DROP-reglen uden varsel, vil alle lignende forbindelser fejle, og det vil være svært at afgøre, om det skyldes timeouten
Problemet skyldes firewallen eller netværksenheden/linjens fejl.

Lidt personlig erfaring: Når man implementerer en firewall til en intern virksomhed (eller et delvist betroet netværk), er det bedre at bruge en mere gentlemanagtig REJECT
metoden gælder det samme for netværk, der ofte skal ændre eller fejlfinde regler; For firewalls til farligt internet/extranets,
Det er nødvendigt at bruge en mere brutal, men sikker DROP-metode, som kan sænke fremdriften (og sværhedsgraden, i det mindste DROP) af hacking-angrebet til en vis grad
kan gøre dem til TCP-Connect portscanning længere).




Tidligere:DOS-angrebstilfælde baseret på UDP-port 80
Næste:C# Process.Start()-metoden forklares i detaljer

Relaterede indlæg
Ansvarsfraskrivelse:
Al software, programmeringsmaterialer eller artikler udgivet af Code Farmer Network er kun til lærings- og forskningsformål; Ovenstående indhold må ikke bruges til kommercielle eller ulovlige formål, ellers skal brugerne bære alle konsekvenser. Oplysningerne på dette site kommer fra internettet, og ophavsretstvister har intet med dette site at gøre. Du skal slette ovenstående indhold fuldstændigt fra din computer inden for 24 timer efter download. Hvis du kan lide programmet, så understøt venligst ægte software, køb registrering og få bedre ægte tjenester. Hvis der er nogen overtrædelse, bedes du kontakte os via e-mail.
Mail To:help@itsvse.com