第一步: 通过响应报文的校验确认源是否合法, 可以防止非法虚假源攻击;

第二步: 源若合法,通过TTL跳数确认是否是假冒其他合法地址发起的攻击。

TCP反向源探测会在client端发送SYN报文后,由防火墙首先回应一个ack_sequence序号错误的SYN-ACK报文,此报文的ack_sequence,为HASH值,其中包含此报文的TTL,与SYN报文的sequence+1不一致,如果client端真实存在收到此SYN-ACK就会发送RST报文,防火墙收到此RST报文,判断sequence与上述syn-ack的ack_sequence是否一致,如果一致,从此序号恢复TTL,与报文的TTL比较,如果相等或者相差很小范围,则认为SYN及RST报文都是从同一地址发出,此源IP加为认证通过状态。后续再有SYN报文到达,命中源IP监控表,发现认证通过,则转发此SYN报文。

results matching ""

    No results matching ""