بایگانی ماهیانه: دی ۱۳۸۴

DROP vs REJECT

در اغلب فایروالهای امروزی دو سیاست Drop و Reject در برخورد با بسته های عبوری غیر مجاز به کار میرود. اما کدامیک از اینها و تحت چه شرایطی بر دیگری ترجیح دارند؟

تفاوت اساسی این دو سیاست، میزان اطلاعاتی است که برای ارسال کننده بسته ها (sender) فرستاده میشود. در حالت Drop ، فرستنده هیچ اطلاع رسمی از سرنوشت بسته دریافت نمیکند، اما در صورت Reject ، معمولا یک بسته TCP Reset یا ICMP Error توسط فایروال برای source بسته (نه لزوما فرستنده بسته) ارسال میشود. اما اینگونه اطلاع رسانی (!) چه کمکی به وظیفه اصلی فایروال میکند؟ مگر در مواردی که مساله debug کردن rule های فایروال توسط راهبر آن مطرح باشد. و اما چند دلیل بهتر بودن Drop:

الف: Drop کردن میتواند از بسیاری از حملات واکنشی پیشگیری کند، مثلا وقتی آدرس مبدا spoof شده باشد.

ب: ارسال اطلاعات به بعضی scanner ها کمک میکند تا mapping صحیح تری از پورت ها، سرویسهای شبکه و … به دست آورند.

منبع:

SANS Handler’s Diary, December 26th

اشتراک گذاری