Tämä artikkeli on konekäännöksen peiliartikkeli, klikkaa tästä siirtyäksesi alkuperäiseen artikkeliin.

Architect_Programmer_Code Maatalousverkosto»Arkkitehti Muut teknologiat Windows/Linux Ero DROPin ja HYLKÄÄMISEN välillä
Näkymä: 11350|Vastaus: 0

[linux] Ero DROPin ja HYLKÄÄMISEN välillä

[Kopioi linkki]
Julkaistu 2.2.2016 10.33.58 | | |

Palomuurissa on kahta tyyppiä politiikkatoimia: DROP ja REJECT, ja erot ovat seuraavat:
1. DROP-toiminto on yksinkertaisesti poistaa data suoraan ilman palautetta. Jos asiakas odottaa aikakatkaisua, asiakas voi helposti joutua palomuurin estämään itselleen.
2. REJECT -toiminto palauttaa hylkäyksen (lopetetun) paketin (TCP FIN tai UDP-ICMP-PORT-UNREACHABLE) kohteliaammin ja hylkää vastapuolen yhteystoiminnon nimenomaisesti. Yhteys katkeaa välittömästi, ja asiakas luulee, ettei käytettyä isäntää ole olemassa. EJECTillä on joitakin palautusparametreja IPTABLES:ssa, kuten ICMP port-unreachable, ICMP echo-reply tai tcp-reset (tämä paketti pyytää toista osapuolta katkaisemaan yhteyden).

Ei ole varmuutta, onko DROP- vai REJECT-menetelmää sopivaa, sillä molemmat ovat todellakin sovellettavissa. REJECT on yhteensopivampi tyyppi
ja helpompi diagnosoida ja debuggata verkko-/palomuuriongelmia hallitussa verkkoympäristössä; Ja DROP tarjoaa
Korkeampi palomuurin turvallisuus ja pienet tehokkuuden parannukset, mutta mahdollisesti johtuen DROPin ei-standardoidusta (ei kovin TCP-yhteysmäärityksen mukaisesta) käsittelystä
Se voi aiheuttaa odottamattomia tai vaikeasti diagnosoitavia ongelmia verkossasi. Koska vaikka DROP yksipuolisesti katkaisee yhteyden, se ei palaa toimistolle
Siksi yhteysasiakas odottaa passiivisesti TCP-istunnon ajan umpeutumista selvittääkseen, onko yhteys onnistunut, jotta yrityksen sisäinen verkko kehittyy
Jotkut asiakasohjelmat tai -sovellukset vaativat IDENT-protokollan tukea (TCP Port 113, RFC 1413), jos sen estät
Jos palomuuri soveltaa DROP-sääntöä ilman ennakkoilmoitusta, kaikki vastaavat yhteydet epäonnistuvat, ja on vaikea selvittää, johtuuko se aikakatkaikesta
Ongelma johtuu palomuurista tai verkkolaitteen/linjan vikaantumisesta.

Pieni henkilökohtainen kokemus: kun otat palomuuria käyttöön sisäiselle yritykselle (tai osittain luotetulle verkolle), on parempi käyttää herrasmiesmäisempää hylkäystä
Sama pätee verkkoihin, joiden sääntöjä täytyy usein muuttaa tai debugata; Vaarallisten internetin/ekstranettien palomuureista,
On tarpeen käyttää brutaalimpaa mutta turvallisempaa DROP-menetelmää, joka voi hidastaa hakkerointihyökkäyksen etenemistä (ja ainakin vaikeustasoa) jonkin verran
voi pidentää TCP-Connect-porttien skannausta).




Edellinen:DOS-hyökkäystapaus, joka perustuu UDP-porttiin 80
Seuraava:C# Process.Start()-menetelmä selitetään yksityiskohtaisesti

Aiheeseen liittyvät julkaisut
Vastuuvapauslauseke:
Kaikki Code Farmer Networkin julkaisemat ohjelmistot, ohjelmamateriaalit tai artikkelit ovat tarkoitettu vain oppimis- ja tutkimustarkoituksiin; Yllä mainittua sisältöä ei saa käyttää kaupallisiin tai laittomiin tarkoituksiin, muuten käyttäjät joutuvat kantamaan kaikki seuraukset. Tämän sivuston tiedot ovat peräisin internetistä, eikä tekijänoikeuskiistat liity tähän sivustoon. Sinun tulee poistaa yllä oleva sisältö kokonaan tietokoneeltasi 24 tunnin kuluessa lataamisesta. Jos pidät ohjelmasta, tue aitoa ohjelmistoa, osta rekisteröityminen ja hanki parempia aitoja palveluita. Jos rikkomuksia ilmenee, ota meihin yhteyttä sähköpostitse.
Mail To:help@itsvse.com