최근에 여러 모듈이 있는 사이트에 부딪혔는데, 각 모듈은 패킷을 전달하고 있었습니다. 최악의 경우는 2초마다 1의 비율로 기록되었습니다. 매우 빠르지는 않지만 모듈이 "보안"서버에서 네트워크 밖으로 63 메가 바이트 (86,400 / 2 * 1472) 데이터1을 전달하거나 63 메가 바이트의 해킹 도구를 보안 네트워크에 전송 할 수 있도록 하루에 86,400 초가 있습니다.
그러나 대부분의 경우 패킷을 전달하는 것은 보안 위반이 아닌 구성 문제의 표시입니다. 예를 들어 모듈에 IP 인터페이스가 2개 있다고 가정합니다.
enet1 10.1.1.1 255.255.0.0
enet2 192.168.1.1 255.255.255.0
기본 라우터가 192.168.1.254라고 가정해 보겠습니다.
첫 번째 네트워크의 모든 호스트는 255.255.0.0의 서브넷 마스크가 있는 양식 10.1.X.Y의 IP 주소가 있어야 하지만 IP 주소 10.1.1.1.17을 가진 server_17 더 많은 비트가 있는 서브넷 마스크를 사용하도록 구성되면 255.25.25.255.0? 양식 10.1.1.X의 IP 주소가 있는 호스트와 통신할 수 있으므로 문제가 발생할 수 있습니다. 그러나 IP 브로드캐스트 패킷을 발송하면 IP 패킷이 10.1.255.255가 아닌 10.1.1.255로 해결됩니다. 해당 패킷에 이더넷 브로드캐스트 주소가 있는 이더넷 프레임은 모듈의 이더넷 드라이버가 프레임을 읽고 패킷을 IP 드라이버로 전달하도록 합니다. IP 드라이버는 IP 주소를 살펴보고 enet1 또는 enet2로 해결되지 않고 브로드캐스트 주소인 10.1.255.255가 아니라고 결정합니다. IP 드라이버가 전달을 켜면 10.1.255의 IP 주소가 있는 호스트로 패킷을 전달하려고 합니다. 모듈에 ARP 캐시에 10.1.1.255에 대한 항목이 없는 경우 ARP 요청을 전송합니다. 회신을 받으면(또는 이미 항목이 있음) 패킷을 10.1.1.255로 전달합니다. 회신을 받지 못하면 프레임이 삭제됩니다. 또한 모듈은 "라우터"가 호스트의 IP 주소임을 나타내는 ICMP 라우팅 리디렉션 메시지를 보낼 수도 있습니다.
server_17 255.0.0.0의 비트가 적은 서브넷 마스크를 사용하면 어떻게 됩니까? 이 경우 IP 브로드캐스트 주소는 10.255.255.255입니다. IP 드라이버는 이 주소가 연결된 네트워크의 주소가 아니라고 결정하고 패킷을 기본 라우터 192.168.1.254로 전달합니다. 모듈의 리소스가 낭비될 뿐만 아니라 라우터도 낭비됩니다. 동일한 브로드캐스트 도메인에 두 개의 서브넷이 있는 경우에도 동일한 시나리오가 재생됩니다.
마지막으로 보안 문제를 다시 살펴보겠습니다. 보안 server_S 10.1.100의 IP 주소와 255.255.0.0의 올바른 서브넷 마스크가 있다고 가정합니다. 10.1.0.0 네트워크에 라우터가 없으므로 산업용 스파이 이브는 어떻게 server_S 고용주에게 5.6.7.8로 데이터를 보낼 수 있습니까? 간단하게, 그녀는 단지 5.6.7.8로 주소된 모든 패킷이 10.1.1.1로 전송되도록 server_S 호스트 경로를 구성합니다. 그게 전부입니다. 모듈은 패킷을 기본 라우터로 전달하며 IP 주소 필터링이 기본 라우터에 의해 수행되지 않는다고 가정하면 패킷을 5.6.7.8에 도달할 때까지 다음 라우터로 전달됩니다. 5.6.7.8이 10.1.1.100으로 다시 응답할 수 있는 방법은 없지만 이브와 는 괜찮습니다.
모듈이 패킷을 전달하고 있는지 또는 적어도 패킷을 전달하도록 구성되었는지 어떻게 알 수 있습니까? "
netstat -statistics
" 당신이 필요로하는 모든 것을 보여줍니다.
n etstat -statistics . . . ip: . . . 1 ipforwarding (ON) . . . 3117 ipForwDatagrams . . . |
모듈이 패킷을 전달하도록 구성된 경우
ipforwarding
변수는 1이고 레이블은 (ON)로 고정됩니다. 모듈이 실제로 패킷을 전달하는 경우 ipForwDatagrams
카운터가 증분될 것입니다. ARP 캐시 항목이 없기 때문에 패킷이 실제로 전송되지 않은 경우에도 카운터가 증가합니다.
IP 전달을 끄려면 명령 " 실행
>system>stcp>command_library>IP_forwarding off
"예 IP는 대문자입니다.이 시점에서 netstat -통계는
ipforwarding
값이 2이고 레이블이 (OFF)로 고정됩니다. ipForwDatagrams
변수는 재설정되지 않습니다. 여전히 긍정적인 값을 표시합니다. 불행히도 값을 지울 수있는 방법은 없습니다.
n etstat -statistics . . . ip: . . . 2 ipforwarding (OFF) . . . 3117 ipForwDatagrams . . . |
주의의 마지막 단어; 포워딩이 켜지고 꺼지고 다른 사람(이브 제외)이 실제로 모듈을 라우터로 사용하는 경우 원하는 대로 중단됩니다. 내 의견으로는이 나쁜 일이 아니다, STCP는 라우터로 설계되지 않았지만, 몇 가지 불만에 대한 준비.
————-
노트
1 1472는 이더넷을 통해 전송되는 ICMP 에코 패킷에 넣을 수 있는 최대 바이트 수입니다.