利用established字段实现TCP的单向访问
Tcp单向访问,主要是要理解ack置位和应用方向问题。
vlan2网段可以主动与其他网段建立tcp,但是其他网段不能主动和2网段建立tcp,可以如下操作:
tcp established匹配的是带有ack标志位的tcp连接报文,而tcp匹配的是所有tcp连接报文。
先匹配permit的,再匹配deny的。这样的结果是在出方向deny了不带有ack标志位的tcp连接报文,其它tcp连接报文均能正常通过。
因此Vlan 1所在网段发起tcp连接时第一个请求报文被deny而无法建立连接,Vlan 2所在网段发起tcp连接时,1所在网段回复的都是带有ack标志位的tcp连接报文,连接可以顺利建立。
控制位如红框中字段,六个标志位从左至右是URG,紧急指针字段标志;ACK,确认字段标志;PSH,推功能;RST,重置连接;SYN,同步序列号;FIN,数据传送完毕。
命令手册对于rule规则中tcp相关字段的说明:
1.1.18 rule (IPv4 advanced ACL view)
TCP的建立,拆除、传输、超时重传,滑动窗口过程截图如下:
Tcp建立过程发起方第一个发包,ACK无效,可以利用这个实现TCP单向访问。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作