Denna artikel är en spegelartikel om maskinöversättning, klicka här för att hoppa till originalartikeln.

Architect_Programmer_Code Jordbruksnätverket»Arkitekt Andra teknologier Windows/Linux Skillnad mellan DROP och REJECT
Utsikt: 11350|Svar: 0

[Linux] Skillnad mellan DROP och REJECT

[Kopiera länk]
Publicerad på 2016-02-02 10:33:58 | | |

Det finns två typer av policyåtgärder i brandväggen: SLÄPP och AVVISA, och skillnaderna är följande:
1. DROP-åtgärden är helt enkelt att direkt kassera datan utan återkoppling eller svar. Om klienten väntar på timeouten kan klienten lätt bli blockerad av brandväggen.
2. AVVISA-åtgärden returnerar ett avvisat (avslutat) paket (TCP FIN eller UDP-ICMP-PORT-UNREACHABLE) artigare och avvisar uttryckligen den andra partens anslutningsåtgärd. Anslutningen kopplas omedelbart bort, och klienten tror att den åtkomstvärden inte existerar. REJECT har vissa returparametrar i IPTABLES, såsom ICMP port-unreachable, ICMP echo-reply eller tcp-reset (detta paket ber den andra parten att stänga av anslutningen).

Det finns inget avgörande om det är lämpligt att använda DROP eller REJECT, eftersom båda faktiskt är tillämpliga. REJECT är en mer följsam typ
och enklare att diagnostisera och felsöka nätverks-/brandväggsproblem i en kontrollerad nätverksmiljö; Och DROP tillhandahåller
Högre brandväggssäkerhet och små effektivitetsvinster, men möjligen på grund av den icke-standardiserade (inte särskilt kompatibla TCP-anslutningsspecifikationerna) hanteringen av DROP
Det kan orsaka oväntade eller svårdiagnostiserade problem med ditt nätverk. För även om DROP ensidigt avbryter anslutningen, återvänder den inte till kontoret
Därför kommer anslutningsklienten passivt att vänta tills TCP-sessionen går ut för att avgöra om anslutningen är framgångsrik, för att avancera företagets interna nätverk
Vissa klientprogram eller applikationer kräver stöd för IDENT-protokoll (TCP-port 113, RFC 1413) om du förhindrar det
Om brandväggen tillämpar DROP-regeln utan förvarning kommer alla liknande anslutningar att misslyckas, och det blir svårt att avgöra om det beror på timeouten
Problemet beror på brandväggen eller nätverksenheten/linjefelet.

Lite personlig erfarenhet: när man installerar en brandvägg för ett internt företag (eller ett delvis betrodd nätverk) är det bättre att använda en mer gentlemannamässig REJECT
samma sak gäller för nätverk som ofta behöver ändra eller felsöka regler; För brandväggar för farligt Internet/extranet,
Det är nödvändigt att använda en mer brutal men säker DROP-metod, som kan sakta ner framstegen (och svårigheten, åtminstone DROP) av hackningsattacken till viss del
kan göra att de skanna TCP-Connect-portar längre).




Föregående:DOS-attackfall baserat på UDP-port 80
Nästa:C# Process.Start()-metoden förklaras i detalj

Relaterade inlägg
Friskrivning:
All programvara, programmeringsmaterial eller artiklar som publiceras av Code Farmer Network är endast för lärande- och forskningsändamål; Ovanstående innehåll får inte användas för kommersiella eller olagliga ändamål, annars kommer användarna att bära alla konsekvenser. Informationen på denna sida kommer från internet, och upphovsrättstvister har inget med denna sida att göra. Du måste helt radera ovanstående innehåll från din dator inom 24 timmar efter nedladdning. Om du gillar programmet, vänligen stöd äkta programvara, köp registrering och få bättre äkta tjänster. Om det finns något intrång, vänligen kontakta oss via e-post.
Mail To:help@itsvse.com