Dit artikel is een spiegelartikel van machinevertaling, klik hier om naar het oorspronkelijke artikel te gaan.

Architect_Programmer_Code Landbouwnetwerk»Architect Andere technologieën Windows/Linux Verschil tussen DROP en REJECT
Bekijken: 11350|Antwoord: 0

[Linux] Verschil tussen DROP en REJECT

[Link kopiëren]
Geplaatst op 02-02-2016 10:33:58 | | |

Er zijn twee soorten beleidsacties in de firewall: DROP en REJECT, en de verschillen zijn als volgt:
1. De DROP-actie is simpelweg om de data direct weg te gooien zonder feedback of reactie. Als de client wacht op de time-out, kan de client gemakkelijk geblokkeerd worden door de firewall.
2. De REJECT actie zal een afgewezen (beëindigd) pakket (TCP FIN of UDP-ICMP-PORT-UNREACHABLE) beleefder teruggeven en expliciet de verbindingsactie van de andere partij afwijzen. De verbinding wordt onmiddellijk verbroken en de client denkt dat de geraadpleegde host niet bestaat. REJECT heeft enkele retourparameters in IPTABLES, zoals ICMP port-unreachable, ICMP echo-reply of tcp-reset (dit pakket vraagt de andere partij om de verbinding uit te schakelen).

Er is geen definitieve vraag of het gepast is om DROP of REJECT te gebruiken, aangezien beide inderdaad van toepassing zijn. REJECT is een meer conform type
en gemakkelijker te diagnosticeren en te debuggen van netwerk-/firewallproblemen in een gecontroleerde netwerkomgeving; En DROP biedt
Hogere firewallbeveiliging en lichte efficiëntiewinst, maar mogelijk door de niet-gestandaardiseerde (niet zeer conforme TCP-verbindingspecificatie) afhandeling van DROP
Het kan onverwachte of moeilijk te diagnosticeren problemen met je netwerk veroorzaken. Omdat hoewel DROP eenzijdig de verbinding onderbreekt, het niet terugkeert naar het kantoor
Daarom wacht de verbindingsclient passief tot de TCP-sessie uitvalt om te bepalen of de verbinding succesvol is, zodat het interne netwerk van de onderneming kan worden doorgevorderd
Sommige clientprogramma's of applicaties vereisen IDENT-protocolondersteuning (TCP Port 113, RFC 1413) als je dit voorkomt
Als de firewall de DROP-regel zonder waarschuwing toepast, zullen alle vergelijkbare verbindingen falen en zal het moeilijk zijn te bepalen of dit door de time-out komt
Het probleem komt door de firewall of het uitvallen van het netwerkapparaat/-lijn.

Een beetje persoonlijke ervaring: bij het uitrollen van een firewall voor een interne onderneming (of een gedeeltelijk vertrouwd netwerk) is het beter om een meer hoffelijke REJECT te gebruiken
hetzelfde geldt voor netwerken die regels vaak moeten wijzigen of debuggen; Voor firewalls voor gevaarlijk internet/extranets,
Het is noodzakelijk om een brute maar veilige DROP-methode te gebruiken, die de voortgang (en in ieder geval de moeilijkheidsgraad, in elk geval DROP) van de hackaanval enigszins kan vertragen
kan het TCP-Connect port scannen langer maken).




Vorig:DOS-aanvalsgeval gebaseerd op UDP-poort 80
Volgend:C# Process.Start()-methode wordt in detail uitgelegd

Gerelateerde berichten
Disclaimer:
Alle software, programmeermaterialen of artikelen die door Code Farmer Network worden gepubliceerd, zijn uitsluitend bedoeld voor leer- en onderzoeksdoeleinden; De bovenstaande inhoud mag niet worden gebruikt voor commerciële of illegale doeleinden, anders dragen gebruikers alle gevolgen. De informatie op deze site komt van het internet, en auteursrechtconflicten hebben niets met deze site te maken. Je moet bovenstaande inhoud volledig van je computer verwijderen binnen 24 uur na het downloaden. Als je het programma leuk vindt, steun dan de echte software, koop registratie en krijg betere echte diensten. Als er sprake is van een inbreuk, neem dan contact met ons op via e-mail.
Mail To:help@itsvse.com