格式: none-first-fragment
基本ACL和高级ACL支持基于IP分片信息过滤报文。
IP分片除了首片报文外,还有后续分片报文,又叫做非首片分片报文。仅首片分片报文携带四层信息(如TCP/UDP端口号等),后续分片报文均不携带。网络设备收到分片报文后,会判断其是否是最后一个分片报文。如果不是,则为其分配内存空间,以便于最后一个分片报文到达后完成重组。黑客可以利用这一点,向接收方设备发起分片报文攻击,始终不向接收方发送最后一个分片报文,使得接收方的内存得不到及时释放(接收方会启动一个分片重组的定时器,在定时器超时前如果无法完成重组,将向发送方发送ICMP重组超时差错报文;如果定时器超时后仍未完成重组,则丢弃已存储的分片报文)。在分片报文发送数量很多并且发送速度很快的情况下,接收方的内存很容易被占满,从而导致接收方没有足够的内存资源处理其他正常的业务。
为了解决这个问题,可以配置指定 none-first-fragment匹配项的ACL规则来阻塞非首片分片报文,从而达到防范分片报文攻击的目的。
针对非分片报文、首片分片报文、非首片分片报文这三类报文,ACL的处理方式如所示。
表7
ACL对IP分片报文的处理方式
规则包含的匹配项
非分片报文
首片分片报文
非首片分片报文
三层信息(如源/目的IP地址)
三层信息匹配上,则返回匹配结果(permit/deny);未匹配上,则转下一条规则进行匹配
三层信息匹配上,则返回匹配结果(permit/deny);未匹配上,则转下一条规则进行匹配
三层信息匹配上,则返回匹配结果(permit/deny);未匹配上,则转下一条规则进行匹配
三层信息 + 四层信息(如TCP/UDP端口号)
三层和四层信息都匹配上,则返回匹配结果(permit/deny);未匹配上,则转下一条规则进行匹配
三层和四层信息都匹配上,则返回匹配结果(permit/deny);未匹配上,则转下一条规则进行匹配
不匹配,转下一条规则进行匹配
三层信息 + none-first-fragment
不匹配,转下一条规则进行匹配
不匹配,转下一条规则进行匹配
三层信息匹配上,则返回匹配结果(permit/deny);未匹配上,则转下一条规则进行匹配
例如,ACL 3012中存在以下规则:
#
acl number 3012
rule 5 deny tcp destination 192.168.2.2 0 none-first-fragment
rule 10 permit tcp destination 192.168.2.2 0 destination-port eq www
rule 15 deny ip
#
Original: https://www.cnblogs.com/endv/p/16154902.html
Author: Endv
Title: TCP标志信息
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/551736/
转载文章受原作者版权保护。转载请注明原作者出处!