Acest articol este un articol oglindă al traducerii automate, vă rugăm să faceți clic aici pentru a sări la articolul original.

Architect_Programmer_Code Rețeaua Agricolă»Arhitect Alte tehnologii Windows/Linux Diferența dintre DROP și REJECT
Vedere: 11350|Răspunde: 0

[Linux] Diferența dintre DROP și REJECT

[Copiază linkul]
Postat pe 02.02.2016 10:33:58 | | |

Există două tipuri de acțiuni de politică în firewall: DROP și REJECT, iar diferențele sunt următoarele:
1. Acțiunea DROP este pur și simplu să arunce direct datele fără a face feedback la niciun răspuns. Dacă clientul așteaptă timeout-ul, se poate trezi ușor blocat de firewall.
2. Acțiunea REJECT va returna un pachet de respingere (terminat) (TCP FIN sau UDP-ICMP-PORT-UNREACHABLE) mai politicos și va respinge explicit acțiunea de conexiune a celeilalte părți. Conexiunea este imediat deconectată, iar clientul crede că gazda accesată nu există. REJECT are câțiva parametri de returnare în IPTABLES, cum ar fi ICMP port-unreachable, ICMP echo-reply sau tcp-reset (acest pachet va cere celeilalte părți să oprească conexiunea).

Nu există o concluzie concludentă dacă este potrivit să se folosească DROP sau REJECT, deoarece ambele sunt într-adevăr aplicabile. REJECT este un tip mai conform
și mai ușor de diagnosticat și depanat problemele de rețea/firewall într-un mediu de rețea controlat; Iar DROP oferă
Securitate mai mare a firewall-ului și câștiguri ușoare de eficiență, dar posibil datorită gestionării nestandardizate (nu foarte conforme cu specificațiile de conexiune TCP) a DROP
Poate cauza unele probleme neașteptate sau greu de diagnosticat în rețeaua ta. Pentru că, deși DROP întrerupe unilateral conexiunea, nu se întoarce la birou
Prin urmare, clientul de conexiune va aștepta pasiv până când sesiunea TCP expiră pentru a determina dacă conexiunea este reușită, astfel încât să avanseze rețeaua internă a întreprinderii
Unele programe sau aplicații client necesită suport pentru protocolul IDENT (Portul TCP 113, RFC 1413) dacă îl previi
Dacă firewall-ul aplică regula DROP fără notificare, toate conexiunile similare vor eșua și va fi dificil de determinat dacă este din cauza timeout-ului
Problema este cauzată de firewall sau de defecțiune a dispozitivului/liniei de rețea.

O mică experiență personală: atunci când implementezi un firewall pentru o companie internă (sau o rețea parțial de încredere), este mai bine să folosești un REJECT mai gentleman
la fel este valabil și pentru rețelele care trebuie să schimbe sau să depaneze regulat regulile; Pentru firewall-uri pentru Internet/extranet-uri periculoase,
Este necesar să folosești o metodă DROP mai brutală, dar sigură, care poate încetini progresul (și dificultatea, cel puțin, DROP) atacului de hacking într-o anumită măsură
poate face scanarea porturilor TCP-Connect mai lungă).




Precedent:Caz de atac DOS bazat pe portul UDP 80
Următor:Metoda C# Process.Start() este explicată în detaliu

Postări conexe
Disclaimer:
Tot software-ul, materialele de programare sau articolele publicate de Code Farmer Network sunt destinate exclusiv scopurilor de învățare și cercetare; Conținutul de mai sus nu va fi folosit în scopuri comerciale sau ilegale, altfel utilizatorii vor suporta toate consecințele. Informațiile de pe acest site provin de pe Internet, iar disputele privind drepturile de autor nu au legătură cu acest site. Trebuie să ștergi complet conținutul de mai sus de pe calculatorul tău în termen de 24 de ore de la descărcare. Dacă îți place programul, te rugăm să susții software-ul autentic, să cumperi înregistrarea și să primești servicii autentice mai bune. Dacă există vreo încălcare, vă rugăm să ne contactați prin e-mail.
Mail To:help@itsvse.com