Страница 1 из 1
za Гадка
Добавлено: 21 янв 2004, 18:26
vg
Что должен сделать хост, получивший TCP пакет с одновременно установленными флагами RST ACK?
Re: za Гадка
Добавлено: 22 янв 2004, 12:32
Xa-xa
vg писал(а):Что должен сделать хост, получивший TCP пакет с одновременно установленными флагами RST ACK?
Форматнуть винт?!
Добавлено: 28 янв 2004, 15:53
vg
vg:
Что должен сделать хост, получивший TCP пакет с одновременно установленными флагами RST ACK?
Форматнуть винт?!
Ценю Ваш юмор
Тогда дополнительная, наводящая информация:
...
TCP: Sequence Number = 0 (0x0)
...
TCP: Window = 0 (0x0)
...
Добавлено: 28 июл 2004, 15:00
vg
В принципе, разъяснили, ещё тогда хорошие Российские спецы. Сейчас увидел сам, что происходит и на кого это расчитано.
Стандарный IOS циски не умеет в ACL поддерживать и контролировать реальные установленные соединения. Ключевое слово established не спасает. Это характерно и для других МСЭ (не всех, конечно). Поэтому легко исследуются сети "сквозь" такой "фаревол" путём RST, ACK сканирования (не путайте с SYN-сканированием).
Поэтому, либо в циску нужно вливать (покупать) или расширенный IOS, который держит рефлексив-ACL, или ставить на циске действительно фаревол (есть и такие версии IOS), или за циской ставить фаревол, умеющий отслеживать по настоящему установленные соединения, а не только контролировать флаги RST, ACK в хедере TCP.
Кстати, даже для стандартного IOS, думаю, немного можно улучшить ситуацию, если разрешать не одной строчкой established, а established только с портов тех сервисов, которые вы разрешаете в ACL.