Ez a cikk egy tükör gépi fordítás, kérjük, kattintson ide, hogy ugorjon az eredeti cikkre.

Architect_Programmer_Code Mezőgazdasági Hálózat»Építész Egyéb technológiák Windows/Linux Különbség a DROP és REJECT között
Nézet: 11350|Válasz: 0

[linux] Különbség a DROP és REJECT között

[Linket másol]
Közzétéve 2016. 02. 02. 10:33:58 | | |

A tűzfalban kétféle politikai művelet létezik: DROP és REJECT, és a különbségek a következők:
1. A DROP akció egyszerűen az, hogy közvetlenül eldobjuk az adatokat visszajelzés nélkül. Ha az ügyfél megvárja az időtúlolást, könnyen előfordulhat, hogy a tűzfal blokkolja.
2. Az REJECT akció udvariasabban visszaküld (megszüntetett) csomagot (TCP FIN vagy UDP-ICMP-PORT-UNREACHABLE), és kifejezetten elutasítja a másik fél csatlakozási akcióját. A kapcsolat azonnal megszakad, és a kliens úgy gondolja, hogy a hozzáfért hoszt nem létezik. A REJECT néhány visszatérő paramétert tartalmaz az IPTABLES-ben, például ICMP port-unreachable, ICMP echo-reply vagy tcp-reset (ez a csomag a másik féltől kéri a kapcsolat kikapcsolását).

Nincs egyértelmű döntés, hogy megfelelő-e a DROP vagy REJECT használatát, mivel mindkettő valóban alkalmazható. A REJECT egy kompatibilisebb típus
és könnyebben diagnosztizálható és hibarangozható a hálózat/tűzfal problémáit egy kontrollált hálózati környezetben; És a DROP biztosítja
Magasabb tűzfal-biztonság és enyhe hatékonysági javul, de valószínűleg a DROP nem szabványosított (nem túl kompatibilis TCP kapcsolati specifikációihoz) kezelésének köszönhető
Váratlan vagy nehezen diagnosztizálható problémákat okozhat a hálózatoddal. Mert bár a DROP egyoldalúan megszakítja a kapcsolatot, nem tér vissza az irodába
Ezért a kapcsolatkliens passzívan várja a TCP ülés időlejárását, hogy megállapítsa, a kapcsolat sikeres-e, így előrehalad a vállalat belső hálózata
Néhány kliensprogram vagy alkalmazás megköveteli az IDENT protokoll támogatását (TCP Port 113, RFC 1413), ha ezt megakadályozzuk
Ha a tűzfal előzetes értesítés nélkül alkalmazza a DROP szabályt, minden hasonló kapcsolat meghibásodik, és nehéz lesz megállapítani, hogy az időkorlát miatt van-e
A probléma a tűzfal vagy a hálózati eszköz/vonal hibája miatt van.

Egy kis személyes tapasztalat: amikor belső vállalat (vagy részben megbízható hálózat) tűzfalat telepítünk, jobb egy úriemberesebb ELUTASÍTÁST használni
Ugyanez igaz azokra a hálózatokra, amelyeknek gyakran kell változtatniuk vagy hibakeresésre van szükségük a szabályokra; Veszélyes internet/extranetek tűzfalakkal,
Szükséges, hogy egy brutálisabb, de biztonságosabb DROP módszert alkalmazzunk, ami bizonyos mértékig lassíthatja a hackelő támadás előrehaladását (és legalábbis a DROP nehézségét)
tovább növelhetik a TCP-Connect portszkennelését).




Előző:DOS támadási eset az UDP 80-as porton alapul
Következő:A C# Process.Start() módszer részletesen ismertetve van

Kapcsolódó bejegyzések
Lemondás:
A Code Farmer Network által közzétett összes szoftver, programozási anyag vagy cikk kizárólag tanulási és kutatási célokra szolgál; A fenti tartalmat nem szabad kereskedelmi vagy illegális célokra használni, különben a felhasználók viselik az összes következményet. Az oldalon található információk az internetről származnak, és a szerzői jogi vitáknak semmi köze ehhez az oldalhoz. A fenti tartalmat a letöltés után 24 órán belül teljesen törölni kell a számítógépéről. Ha tetszik a program, kérjük, támogassa a valódi szoftvert, vásároljon regisztrációt, és szerezzen jobb hiteles szolgáltatásokat. Ha bármilyen jogsértés történik, kérjük, vegye fel velünk a kapcsolatot e-mailben.
Mail To:help@itsvse.com