ASA防火墙之IP TTL及IP分片的处理

最新推荐文章于 2024-07-27 05:39:43 发布
原创 最新推荐文章于 2024-07-27 05:39:43 发布 · 960 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

IP TTL及IP分片的处理

本篇继续讲ASA防火墙,主要讲一下ASA防火墙对TTL的一个处理方式和IP分配的介绍,前者会配置实例来介绍,后者的话简略的带过。

IP TTL的处理

在这里插入图片描述
还是以我们的拓扑为例,实例介绍更为清晰。

在这里插入图片描述
让R1traceroute R2.(前提配置好R1可以pingR2),可以看到,是不会出现ASA的上的地址的。我们知道可以通过TTL来检测网络中的设备,而TTL通过ASA是不减一的,所以我们的traceroute 是不会出现ASA上的地址的,相对来说也是具有一定的安全性。但是ASA也可以为一些特殊的流量减一,也就是说可以通过配置匹配流量减一。
在这里插入图片描述

配置如下:
调用ACL
ASA(config)#access-list tracer extended permit udp host 192.168.150.100 host 192.168.184.100 gt 33433 //流量匹配
ASA(config)#class-map trace-class
ASA(config-cmap)#match access-list tracer
ASA(config)#policy-map global_policy
ASA(config-pmap)#class trace-class
ASA(

最低0.47元/天 解锁文章
成禾
关注
hcip---1、hcia回顾,IPV4数据包结构
weixin_61806660的博客
08-24 1071
3.Fragment Offset,分片偏移,指的时该分片距离没分片完整数据包头部的偏移(比如第一个分片的偏移就是0,第二个分片的偏移则为第一个分片的大小),占13bit,该字段对包含分段的上层数据包的 IP 包赋予序号。再看请求的IP地址。3.Type of Service,服务类型(Tos),对流量进行标记用于做QS(服务质量,用作网络优化,重要流量优先传递),大小为8个bit,利用DSCP(区分服务)方法标记前6位bit(64种不同的服务类别),后2个bit用于ECN(显示拥塞通道)
一阶段加二阶段
最新发布
2301_80167301的博客
10-07 923
同一网段主机访问分析:不同网段路由转发,不同网段第一次通信,需要获取网关的mac地址,以网关地址做中间人转发。不同网段 PC 第一次通信简述 当不同网段的 PC 第一次通信时,主要经过以下几个关键步骤:网段判断 源 PC 检查目标 IP 是否在同一网段 发现不在同一网段,决定通过网关转发ARP 地址解析 源 PC 发送 ARP 广播请求网关的 MAC 地址 网关响应 ARP 请求,提供自己的 MAC 地址 源 PC 缓存网关的 IP-MAC 映射。
思科防火墙ASA完整视频课程
03-04
本课程适合学习完NA/NP课程或有相应水平人士。本课程介绍思科安全产品ASA的配置方法与部署方法。同时介绍技术特点与部署环境的主要应用,问题及解决办法。本课程介绍了基本的图型化配置方法与命令行配置方法,使用虚拟机版本8.42,基本与真实机器无差别。本课程主要讲解的安全技术如下:ACL,对像组,穿越ASA,MPF,NAT,PAT,透明防火墙,多模式防火,冗余,A/S,A/A等技术介绍,同时简单介绍了关于ASA配置路由协议的命令。                                                       课件截图:
★★★★★IP分片的原因、原理、实现以及引起的安全问题
不积跬步无以至千里
06-03 7909
TCP/IP协议中分包与重组原理介绍 分片是分组交换的思想体现,也是IP协议解决的两个主要问题之一。在IP协议中的分片算法主要解决不同物理网络最大传输单元(MTU) 的不同造成的传输问题。但是分组在传输过程中不断地分片和重组会带来很大的工作量还会增加一些不安全的因素。我们将在这篇小论文中讨论IP分片的原因、原理、实现以及引起的安全问题。 一、什么是IP分片 IP分片网络
组播问题分析
个人学习记录
08-16 5219
1、知识介绍    根据接收者对组播源处理方式的不同,组播模型分为以下三类:    1)ASM 模型:Any-Source Multicast,任意信源组播    2)SFM 模型:Source-Filtered Multicast,信源过滤组播    3)SSM 模型:Source-Specific Multicast,指定信源组播    解释:    IGMPv3主机为接口上的每一
IP分片
曲径通幽处
05-05 1768
【写在前面】: 1,该案例是一个特殊应用、特殊环境下的疑难故障案例,给我们的启示是在故障现场,我们需要充分了解清楚跟故障有关的应用特性,比如此案例中的加密机的工作机制; 2,该案例涉及到以下知识点:IP报头校验和、IP分片(请参考本博《IP分片》一文)、防火墙分片报文的处理等; 3,此案例在整理文档时,应该简化了很多的分析测试过程,我按照我的理解做一些梳理: (1),IP报头校验和只跟I
14-思科防火墙ASAIP分片处理
weixin_34072857的博客
07-07 333
一、实验拓扑:二、实验要求:1、R2开启80的流量;2、R1采用http方式远程登录R2;R1#telnet 10.1.1.2 80:本来应该是Telnet流量,然后变成了80流量;3、抓包验证:是否是http(80)流量?三、命令部署:1、部署ACL允许R1访问R2的Telnet流量通过:ASA(config)#access-list out extended permit tcp host ...
【米亚基IS-120B网络协议深度解析】:TCP_IP与以太网的应用
本文系统性地介绍了米亚基IS-120B网络协议的架构和技术细节,从TCP/IP协议栈的基础知识讲起,深入到以太网技术和局域网通信机制,并探讨了网络协议在高级应用中的性能优化和安全配置。通过分析路由协议、网络安全...
网络运维面试题
热门推荐
dianlv8134的博客
04-08 1万+
1.ARP的中文名称及作用? 地址解析协议 将IP转化为MAC地址 2.MAC的广播地址? FF-FF-FF-FF-FF-FF 3.如何解决ARP欺骗? PC 和 网关双向绑定MAC 地址 4.总结交换机的工作原理? 学习 广播 转发 单薄 5.交换机和路由器哪个设备转发数据包时会修改MAC地址?为什么要修改? 路由器 当网关路由器接收到以太网数据帧时,发现数据帧中...
网络安全篇 ASAIP分片处理与TCP规范化-25
佐德将军的博客
02-22 693
目录 一、ASAIP分片处理 二、MPF TCP规范化 一、ASAIP分片处理 ASA的具体化的功能有很多,但是总结起来无非就是两个大的功能,监控与过滤数据。相关的数据包经过ASA防火墙的时候,ASA可以对这些数据包进行监控,在监测到与ASA定义的合法流量规则有违时,它就会把这些数据过滤掉,那么如果一个IP数据报文存在分片它又是如何处理的呢?首先我们来简单说说分片的事情,正常情况下,一个IP报文的长度是1500个字节,当然,这个报文长度是可以调整的,最大的数量是报文的长度全部置位为1,.
防火墙自动拦截攻击IP
潮落拾贝
07-30 3545
       最近发现防火墙设置了端口禁用,依旧会有很多试探性的可疑ip在不断的攻击服务器,有很多外国的ip地址一天访问量能超过1000次以上,我感觉会拖慢服务器,于是就写了个shell守护进程脚本,大家可以参考一下。 #!/bin/sh ufwDeny(){ FILE="/var/log/ufw.log" #MAX=15 这里的阈设置的是当天12个小时被防火墙阻拦超过15次的IP IP=$(...
0X6ip分片TTL
LainWith的博客
08-30 242
TCP/IP详解卷一之防火墙网络地址转换
qq_43008490的博客
01-11 1015
1 防火墙 —代理防火墙和包过滤防火墙的主要区别是所操作的协议栈的层次以及由此决定的IP地址和端口号的使用。 (1)包过滤防火墙 — 包过滤防火墙是一个互联网路由器,能够丢弃符合(或不符合)特定条件的数据包。 —最简单的包过滤防火墙是无状态的,它会单独处理每一个数据报。 —更复杂的包过滤防火墙是有状态的,它能够通过关联已经或者即将到达的数据包来推断流或者数据报的信息,即那些属于同一个传输关联的数据...
cisco ASA5506 pppoe配置
lzw1994607的博客
03-15 8914
cisco ASA5506 pppoe配置命令:1.接口 配置:interface GigabitEthernet1/1 nameif outsid                                          //命名接口 为outside   出口接口 security-level 0                                       //安全等级...
网络安全篇 ASATTL处理-24
佐德将军的博客
02-19 705
目录 一、实验原理 二、实验拓扑 三、实验步骤 四、实验过程 总结 实验难度 2 实验复杂度 2 一、实验原理 TTL是生存时间,也有人称它为生存周期,它是用于衡量一个数据包可以从wy 二、实验拓扑 三、实验步骤 四、实验过程 总结 ...
13-思科防火墙ASATTL处理
weixin_34138255的博客
07-07 705
一、实验拓扑:二、实验要求:一般排错会用到Traceroute;Udp端口从33433开始,TTL=1回应一个报文;TTL=2,33434,端口号是累加的;不减TTL的坏处:tracert时候流量过不去一直是 ,人员不知道哪出现了问题;好处:×××不知道这里是一个ASAASA隐藏掉了;×××猜不到中间是防火墙,一直×××,但是×××的就是防火墙;1、R2配置环回口Lo0:2.2.2.2,AS...
防火墙规则集中存在错误的分片和重装流量处理,可能导致数据泄露
ZOMO的博客
07-27 448
随着互联网的普及和应用的多样化,网络安全问题日益突出,其中防火墙策略管理和策略分析在保障企业信息安全方面发挥着至关重要的作用。本文将探讨防火墙策略管理中存在的问题,特别是分片和重装流量处理错误的产生和影响,以及如何利用AI技术解决这些问题,从而降低数据泄露的风险。
通过iptables 修改数据包TTL,来隐藏traceroute 时的路由跳数
weixin_33787529的博客
06-08 674
原理程序利用增加存活时间(TTL来实现其功能的。每当数据包经过一个路由器,其存活时间就会减1。当其存活时间是0时,主机便取消数据包,并发送一个ICMP TTL数据包给原数据包的发出者。程序发出的首3个数据包TTL是1,之后3个是2,如此类推,它便得到一连串数据包路径。注意IP不保证每个数据包走的路径都一样。实现主叫方首先发出 TTL=1 的 UDP 数据包,第一个路由...
思科asa防火墙放通单个IP允许访问内网
11-26
在Cisco ASA防火墙上放通单个IP允许其访问内网,通常需要创建一个新的访问控制列表(Access Control List, ACL)并将其应用到接口。以下是一个基本步骤: 1. 创建一个新ACL(例如名为"allow_single_ip"): ```sh ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值