Ten artykuł jest lustrzanym artykułem tłumaczenia maszynowego, kliknij tutaj, aby przejść do oryginalnego artykułu.

Architect_Programmer_Code Sieć Rolnicza»Architekt Inne technologie Windows/Linux Różnica między DROP a REJECT
Widok: 11674|Odpowiedź: 0

[linux] Różnica między DROP a REJECT

[Skopiuj link]
Opublikowano 02.02.2016 10:33:58 | | |

W zaporze istnieją dwa typy akcji polityki: DROP i REJECT, a różnice są następujące:
1. Akcja DROP polega po prostu na bezpośrednim odrzuceniu danych bez żadnej reakcji zwrotnej. Jeśli klient czeka na upływ czasu, łatwo może zostać zablokowany przez zaporę.
2. Akcja REJECT zwróci pakiet odrzucenia (zakończony) (TCP FIN lub UDP-ICMP-PORT-UNREACHABLE) w bardziej uprzejmy sposób i wyraźnie odrzuci akcję połączenia drugiej strony. Połączenie zostaje natychmiast rozłączone, a klient myśli, że dostęp do hosta nie istnieje. REJECT ma w IPTABLES pewne parametry zwrotu, takie jak ICMP port-unreachable, ICMP echo-reply lub tcp-reset (ten pakiet poprosi drugą stronę o wyłączenie połączenia).

Nie ma jednoznacznej pewności, czy stosowanie DROP czy REJECT jest właściwe, ponieważ oba są faktycznie przydatne. REJECT to bardziej uległy typ
oraz łatwiejsze do diagnozowania i debugowania problemów sieciowych/zaporowych w kontrolowanym środowisku sieciowym; A DROP zapewnia
Wyższe bezpieczeństwo zapory i niewielkie poprawy efektywności, ale prawdopodobnie z powodu niestandaryzowanego (niezbyt zgodnego ze specyfikacją połączenia TCP) obsługi DROP
Może to powodować nieoczekiwane lub trudne do zdiagnozowania problemy z Twoją siecią. Bo chociaż DROP jednostronnie przerywa połączenie, nie wraca do biura
Dlatego klient połączenia biernie czeka na zakończenie sesji TCP, aby ustalić, czy połączenie się udało, co pozwala posunąć wewnętrzną sieć przedsiębiorstwa do przodu
Niektóre programy lub aplikacje klienckie wymagają wsparcia protokołu IDENT (port TCP 113, RFC 1413), jeśli się tego uniemożliwia
Jeśli zapora sieciowa zastosuje regułę DROP bez powiadomienia, wszystkie podobne połączenia się nie ulegną i trudno będzie ustalić, czy jest to spowodowane timeoutem
Problem wynika z zapory sieciowej lub awarii urządzenia/linii sieciowej.

Trochę osobistego doświadczenia: przy wdrażaniu zapory sieciowej dla wewnętrznej firmy (lub częściowo zaufanej sieci) lepiej użyć bardziej dżentelmeńskiego REJECT
metoda, to samo dotyczy sieci, które muszą często zmieniać lub debugować reguły; Jeśli chodzi o zapory sieciowe niebezpieczne w Internecie/extranecie,
Konieczne jest zastosowanie bardziej brutalnej, ale bezpiecznej metody DROP, która może do pewnego stopnia spowolnić postęp (i przynajmniej DROP) podczas ataku hakerskiego
może wydłużać skanowanie portów TCP-Connect).




Poprzedni:Przypadek ataku DOS oparty na porcie 80 UDP
Następny:Metoda C# Process.Start() jest szczegółowo wyjaśniona

Powiązane wpisy
Zrzeczenie się:
Całe oprogramowanie, materiały programistyczne lub artykuły publikowane przez Code Farmer Network służą wyłącznie celom edukacyjnym i badawczym; Powyższe treści nie mogą być wykorzystywane do celów komercyjnych ani nielegalnych, w przeciwnym razie użytkownicy ponoszą wszelkie konsekwencje. Informacje na tej stronie pochodzą z Internetu, a spory dotyczące praw autorskich nie mają z nią nic wspólnego. Musisz całkowicie usunąć powyższą zawartość z komputera w ciągu 24 godzin od pobrania. Jeśli spodoba Ci się program, wspieraj oryginalne oprogramowanie, kup rejestrację i korzystaj z lepszych, autentycznych usług. W przypadku naruszenia praw prosimy o kontakt mailowy.
Mail To:help@itsvse.com