Denne artikkelen er en speilartikkel om maskinoversettelse, vennligst klikk her for å hoppe til originalartikkelen.

Architect_Programmer_Code Landbruksnettverket»Arkitekt Andre teknologier Windows/Linux Forskjellen mellom DROP og REJECT
Utsikt: 11350|Svare: 0

[Linux] Forskjellen mellom DROP og REJECT

[Kopier lenke]
Publisert på 02.02.2016 10:33:58 | | |

Det finnes to typer policy-handlinger i brannmuren: DROP og REJECT, og forskjellene er som følger:
1. DROP-handlingen er rett og slett å forkaste dataene direkte uten tilbakemelding eller respons. Hvis klienten venter på timeout, kan klienten lett bli blokkert av brannmuren.
2. AVVIS-handlingen vil returnere en avvist (avsluttet) pakke (TCP FIN eller UDP-ICMP-PORT-UNREACHABLE) mer høflig, og eksplisitt avvise den andre partens tilkoblingshandling. Tilkoblingen kobles umiddelbart fra, og klienten tror at den aksesserte verten ikke eksisterer. REJECT har noen returparametere i IPTABLES, som ICMP port-unreachable, ICMP echo-reply eller tcp-reset (denne pakken ber den andre parten om å slå av forbindelsen).

Det er ikke avgjørende om det er hensiktsmessig å bruke DROP eller REJECT, da begge faktisk er anvendelige. REJECT er en mer kompatibel type
og enklere å diagnostisere og feilsøke nettverks-/brannmurproblemer i et kontrollert nettverksmiljø; Og DROP tilbyr
Høyere brannmursikkerhet og små effektivitetsgevinster, men muligens på grunn av den ikke-standardiserte (ikke særlig kompatible TCP-tilkoblingsspesifikasjonene) håndteringen av DROP
Det kan føre til uventede eller vanskelig å diagnostisere problemer med nettverket ditt. Fordi selv om DROP ensidig avbryter forbindelsen, returnerer den ikke til kontoret
Derfor vil tilkoblingsklienten passivt vente til TCP-sesjonen går ut for å avgjøre om tilkoblingen er vellykket, for å fremme det interne nettverket i virksomheten
Noen klientprogrammer eller applikasjoner krever støtte for IDENT-protokollen (TCP Port 113, RFC 1413) hvis du forhindrer det
Hvis brannmuren bruker DROP-regelen uten varsel, vil alle lignende tilkoblinger feile, og det vil være vanskelig å avgjøre om det skyldes timeout
Problemet skyldes brannmuren eller feil på nettverksenheten/linjen.

Litt personlig erfaring: Når man deployerer en brannmur for en intern virksomhet (eller et delvis betrodd nettverk), er det bedre å bruke en mer gentlemanaktig REJECT
metoden, det samme gjelder for nettverk som må endre eller feilsøke regler ofte; For brannmurer for farlig Internett/ekstranett,
Det er nødvendig å bruke en mer brutal, men trygg DROP-metode, som kan bremse fremdriften (og vanskelighetsgraden, i det minste DROP) i hackingangrepet til en viss grad
kan gjøre TCP-Connect-portskanningen lengre).




Foregående:DOS-angrepstilfelle basert på UDP-port 80
Neste:C# Process.Start()-metoden forklares i detalj

Relaterte innlegg
Ansvarsfraskrivelse:
All programvare, programmeringsmateriell eller artikler publisert av Code Farmer Network er kun for lærings- og forskningsformål; Innholdet ovenfor skal ikke brukes til kommersielle eller ulovlige formål, ellers skal brukerne bære alle konsekvenser. Informasjonen på dette nettstedet kommer fra Internett, og opphavsrettstvister har ingenting med dette nettstedet å gjøre. Du må fullstendig slette innholdet ovenfor fra datamaskinen din innen 24 timer etter nedlasting. Hvis du liker programmet, vennligst støtt ekte programvare, kjøp registrering, og få bedre ekte tjenester. Hvis det foreligger noen krenkelse, vennligst kontakt oss på e-post.
Mail To:help@itsvse.com