|
当前位置: Home > 防火墙 > 文章
|
|
|
状态检测工作机制
|
|
文章来源: Internet
文章作者: 未知
发布时间: 2002-04-24
字体:
[大
中
小]
|
|
|
#define ICMP_FRAG_NEEDED 4 /* Fragmentation Needed/DF set */
Allow it in, and possible out if you have different MTUs inside your
network.
#define ICMP_SR_FAILED 5 /* Source Route failed */
Not strictly needed. Nobody should asume SR works anywhere, anyway.
#define ICMP_NET_UNKNOWN 6
block, its ignored
#define ICMP_HOST_UNKNOWN 7
allow it at least inbound.
#define ICMP_HOST_ISOLATED 8
block.
#define ICMP_NET_ANO 9
#define ICMP_HOST_ANO 10
those are the new types returned by ipfilters. You may let them pass in and out.
#define ICMP_NET_UNR_TOS 11
#define ICMP_HOST_UNR_TOS 12
block
#define ICMP_PKT_FILTERED 13 /* Packet filtered */
block, depricated
#define ICMP_PREC_VIOLATION 14 /* Precedence violation */
#define ICMP_PREC_CUTOFF 15 /* Precedence cut off */
block.
六、IP分帧的问题
在路由时,如果IP数据包的内容大于MTU的大小,数据包将会被分帧,被分成几个更小的IP数据包。虽然分帧没有直接地应用于状态检测表,但是它仍然是非常重要的。那么是否在截获数据包后,发向系统的TCP/IP协议站之前,对收到的分帧后的数据包进行组装呢?
在大多数情况下,作为一个状态检测防火墙,对于一些类型的分帧的IP数据包进行重组是需要的。防火墙都监测TCP的头部信息作为对一次会话的监测。然而,在所有被分帧后的IP数据包中只有第一个分帧包含了完整的信息,其他分帧只有IP地址信息。如果一些分帧没有被重组,那么状态监测模块将没有办法识别后续的分帧的数据包是否属于一个会话的一部分。通过重组,防火墙的状态检测模块就能识别整个的被分帧的数据包。
然而,如果是重组完成后才对数据包进行检查,那么防火墙对于使用分帧攻击(使用不完整的或者是非法的)就表现出很大的弱点。因为它们可能根本不会被重组完成。当然它们也不会被日志记录下来。防火墙系统很快就会由于试图继续重组这些根本不可能完成的数据包,而将系统的资源耗尽。那么对于如果需要实现分帧重组,那就必须采用十分好的重组方式。对于具体应用来说,过小的分帧包应该被丢弃。
共3页: 上一页 [1] [2] 3 下一页
|
|
|
↑返回顶部
打印本页
关闭窗口↓
|
|
|
|
