See artikkel on masintõlke peegelartikkel, palun klõpsake siia, et hüpata algse artikli juurde.

Architect_Programmer_Code Põllumajandusvõrgustik»Arhitekt Muud tehnoloogiad Windows/Linux Erinevus DROP ja REJECT vahel
Vaade: 11350|Vastuse: 0

[linux] Erinevus DROP ja REJECT vahel

[Kopeeri link]
Postitatud 02.02.2016 10:33:58 | | |

Tulemüüris on kahte tüüpi poliitikatoiminguid: DROP ja REJECT, ning erinevused on järgmised:
1. DROP-tegevus on lihtsalt andmete otsene äraviskamine ilma tagasisideta. Kui klient ootab ajapiirangut, võib klient kergesti leida end tulemüüri poolt blokeerituna.
2. REJECT tegevus tagastab tagasilükkamise (lõpetatud) paketi (TCP FIN või UDP-ICMP-PORT-UNREACHABLE) viisakalt ja lükkab teise poole ühenduse tegevuse selgesõnaliselt tagasi. Ühendus katkestatakse kohe ja klient arvab, et ligipääsetav host ei eksisteeri. REJECT sisaldab IPTABLES-is mõningaid tagastusparameetreid, näiteks ICMP port-unreachable, ICMP echo-reply või tcp-reset (see pakett palub teisel osapoolel ühenduse välja lülitada).

Ei ole lõplikku garantiid, kas on sobilik kasutada DROP või REJECT, kuna mõlemad on tõepoolest rakendatavad. REJECT on rohkem nõuetele vastav tüüp
ning lihtsam diagnoosida ja siluda võrgu/tulemüüri probleeme kontrollitud võrgukeskkonnas; Ja DROP pakub
Kõrgem tulemüüri turvalisus ja väikesed efektiivsuse paranemised, kuid tõenäoliselt tingitud DROP-i mittestandardiseeritud (TCP ühenduse spetsifikatsiooniga mitte väga vastavast) käsitlemisest
See võib põhjustada ootamatuid või raskesti diagnoositavaid probleeme sinu võrgus. Sest kuigi DROP katkestab ühenduse ühepoolselt, ei naase see kontorisse
Seetõttu ootab ühenduse klient passiivselt, kuni TCP sessioon aegub, et otsustada, kas ühendus on edukas, et edendada ettevõtte sisevõrku
Mõned kliendiprogrammid või rakendused vajavad IDENT-protokolli tuge (TCP port 113, RFC 1413), kui seda takistatakse
Kui tulemüür rakendab DROP-reeglit ilma ette teatamata, ebaõnnestuvad kõik sarnased ühendused ja on raske kindlaks teha, kas põhjuseks on ajapiirang
Probleem on tulemüürist või võrguseadme/liini rikkest.

Veidi isiklikku kogemust: tulemüüri juurutamisel siseettevõttes (või osaliselt usaldusväärses võrgus) on parem kasutada härrasmehelikumat TAGASILÜKKAMIST
meetod, sama kehtib võrkude kohta, mis peavad reegleid sageli muutma või siluma; Ohtlike interneti/ekstranetide tulemüüride puhul,
Vajalik on kasutada jõhkramat, kuid ohutumat DROP meetodit, mis võib mingil määral aeglustada häkkimisrünnaku edenemist (ja vähemalt raskusastet)
võib pikendada TCP-Connect pordi skaneerimist).




Eelmine:DOS-i rünnakujuhtum, mis põhineb UDP pordil 80
Järgmine:C# Process.Start() meetod on üksikasjalikult selgitatud

Seotud postitused
Disclaimer:
Kõik Code Farmer Networki poolt avaldatud tarkvara, programmeerimismaterjalid või artiklid on mõeldud ainult õppimiseks ja uurimistööks; Ülaltoodud sisu ei tohi kasutada ärilistel ega ebaseaduslikel eesmärkidel, vastasel juhul kannavad kasutajad kõik tagajärjed. Selle saidi info pärineb internetist ning autoriõiguste vaidlused ei ole selle saidiga seotud. Ülaltoodud sisu tuleb oma arvutist täielikult kustutada 24 tunni jooksul pärast allalaadimist. Kui sulle programm meeldib, palun toeta originaaltarkvara, osta registreerimist ja saa paremaid ehtsaid teenuseid. Kui esineb rikkumist, palun võtke meiega ühendust e-posti teel.
Mail To:help@itsvse.com