ASA防火墙之IP TTL及IP分片的处理

最新推荐文章于 2021-02-22 15:42:50 发布
最新推荐文章于 2021-02-22 15:42:50 发布
阅读量811 收藏 2
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stephen_jj/article/details/105794477
版权

IP TTL及IP分片的处理

本篇继续讲ASA防火墙,主要讲一下ASA防火墙对TTL的一个处理方式和IP分配的介绍,前者会配置实例来介绍,后者的话简略的带过。

IP TTL的处理

在这里插入图片描述
还是以我们的拓扑为例,实例介绍更为清晰。

在这里插入图片描述
让R1traceroute R2.(前提配置好R1可以pingR2),可以看到,是不会出现ASA的上的地址的。我们知道可以通过TTL来检测网络中的设备,而TTL通过ASA是不减一的,所以我们的traceroute 是不会出现ASA上的地址的,相对来说也是具有一定的安全性。但是ASA也可以为一些特殊的流量减一,也就是说可以通过配置匹配流量减一。
在这里插入图片描述

配置如下:
调用ACL
ASA(config)#access-list tracer extended permit udp host 192.168.150.100 host 192.168.184.100 gt 33433 //流量匹配
ASA(config)#class-map trace-class
ASA(config-cmap)#match access-list tracer
ASA(config)#policy-map global_policy
ASA(config-pmap)#class trace-class
ASA(config-pmap-c)#set connection decrement-ttl //减少TTL值
配置完成,再来查看R1traceroute R2.
在这里插入图片描述

可以看到,ASA的地址出现了。(192.168.150.137)

IP分片的处理

在这里插入图片描述
在这里插入图片描述
ASA(config)# fragment size 1000 outside
ASA(config)# fragment size 1000 inside
ASA(config)# fragment size 1000 DMZ

IP分片其他参数
配置Outside接口分片控制
fragment size 1000 Outside
fragment chain 24 Outside (系统默认)
fragment timeout 5 Outside (系统默认)
配置Inside接口分片控制
fragment size 1000 Inside
fragment chain 24 Inside (系统默认)
fragment timeout 5 Inside (系统默认)

配置完成,可以抓包查看,数据包被分成多份数据。
在这里插入图片描述

最后

到此讲解结束,感谢观看。

成禾
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IP分片
曲径通幽处
05-05 1515
【写在前面】: 1,该案例是一个特殊应用、特殊环境下的疑难故障案例,给我们的启示是在故障现场,我们需要充分了解清楚跟故障有关的应用特性,比如此案例中的加密机的工作机制; 2,该案例涉及到以下知识点:IP报头校验和、IP分片(请参考本博《IP分片》一文)、防火墙分片报文的处理等; 3,此案例在整理文档时,应该简化了很多的分析测试过程,我按照我的理解做一些梳理: (1),IP报头校验和只跟I
14-思科防火墙ASAIP分片处理
weixin_34072857的博客
07-07 251
一、实验拓扑:二、实验要求:1、R2开启80的流量;2、R1采用http方式远程登录R2;R1#telnet 10.1.1.2 80:本来应该是Telnet流量,然后变成了80流量;3、抓包验证:是否是http(80)流量?三、命令部署:1、部署ACL允许R1访问R2的Telnet流量通过:ASA(config)#access-list out extended permit tcp host ...
网络安全篇 ASAIP分片处理与TCP规范化-25
佐德将军的博客
02-22 344
目录 一、ASAIP分片处理 二、MPF TCP规范化 一、ASAIP分片处理 ASA的具体化的功能有很多,但是总结起来无非就是两个大的功能,监控与过滤数据。相关的数据包经过ASA防火墙的时候,ASA可以对这些数据包进行监控,在监测到与ASA定义的合法流量规则有违时,它就会把这些数据过滤掉,那么如果一个IP数据报文存在分片它又是如何处理的呢?首先我们来简单说说分片的事情,正常情况下,一个IP报文的长度是1500个字节,当然,这个报文长度是可以调整的,最大的数量是报文的长度全部置位为1,.
防火墙自动拦截攻击IP
潮落拾贝
07-30 3327
       最近发现防火墙设置了端口禁用,依旧会有很多试探性的可疑ip在不断的攻击服务器,有很多外国的ip地址一天访问量能超过1000次以上,我感觉会拖慢服务器,于是就写了个shell守护进程脚本,大家可以参考一下。 #!/bin/sh ufwDeny(){ FILE="/var/log/ufw.log" #MAX=15 这里的阈设置的是当天12个小时被防火墙阻拦超过15次的IP IP=$(...
0X6ip分片TTL
LainWith的博客
08-30 190
Cisco_ASA5505防火墙详细配置教程及实际配置案例.pdf
09-29
Cisco_ASA5505防火墙详细配置教程及实际配置案例.pdf 内容为PDF格式书籍文件,内容高清 ,有问题欢迎随时站内私信联系,拒绝差评,谢谢!
思科ASA防火墙镜像文件 asa843
最新发布
02-10
希望可以帮助到各位!
思科ASA防火墙端口映射
01-07
ASA5506X> en Password: ******** ASA5506X# conf t ASA5506X(config)# object network serverMES216_port80_map ASA5506X(config-network-object)# host 10.24.11.216 ASA5506X(config-network-object)# nat ...
思科ASA防火墙镜像文件 asa842
02-10
希望可以帮助到各位!
思科ASA防火墙镜像文件 asa825
02-10
希望可以帮到各位
TCP/IP详解卷一之防火墙网络地址转换
qq_43008490的博客
01-11 887
1 防火墙 —代理防火墙和包过滤防火墙的主要区别是所操作的协议栈的层次以及由此决定的IP地址和端口号的使用。 (1)包过滤防火墙 — 包过滤防火墙是一个互联网路由器,能够丢弃符合(或不符合)特定条件的数据包。 —最简单的包过滤防火墙是无状态的,它会单独处理每一个数据报。 —更复杂的包过滤防火墙是有状态的,它能够通过关联已经或者即将到达的数据包来推断流或者数据报的信息,即那些属于同一个传输关联的数据...
组播问题分析
个人学习记录
08-16 4998
1、知识介绍    根据接收者对组播源处理方式的不同,组播模型分为以下三类:    1)ASM 模型:Any-Source Multicast,任意信源组播    2)SFM 模型:Source-Filtered Multicast,信源过滤组播    3)SSM 模型:Source-Specific Multicast,指定信源组播    解释:    IGMPv3主机为接口上的每一
★★★★★IP分片的原因、原理、实现以及引起的安全问题
不积跬步无以至千里
06-03 6241
TCP/IP协议中分包与重组原理介绍 分片是分组交换的思想体现,也是IP协议解决的两个主要问题之一。在IP协议中的分片算法主要解决不同物理网络最大传输单元(MTU) 的不同造成的传输问题。但是分组在传输过程中不断地分片和重组会带来很大的工作量还会增加一些不安全的因素。我们将在这篇小论文中讨论IP分片的原因、原理、实现以及引起的安全问题。 一、什么是IP分片 IP分片网络
13-思科防火墙ASATTL处理
weixin_34138255的博客
07-07 565
一、实验拓扑:二、实验要求:一般排错会用到Traceroute;Udp端口从33433开始,TTL=1回应一个报文;TTL=2,33434,端口号是累加的;不减TTL的坏处:tracert时候流量过不去一直是 ,人员不知道哪出现了问题;好处:×××不知道这里是一个ASAASA隐藏掉了;×××猜不到中间是防火墙,一直×××,但是×××的就是防火墙;1、R2配置环回口Lo0:2.2.2.2,AS...
通过iptables 修改数据包TTL,来隐藏traceroute 时的路由跳数
weixin_33787529的博客
06-08 557
原理程序利用增加存活时间(TTL来实现其功能的。每当数据包经过一个路由器,其存活时间就会减1。当其存活时间是0时,主机便取消数据包,并发送一个ICMP TTL数据包给原数据包的发出者。程序发出的首3个数据包TTL是1,之后3个是2,如此类推,它便得到一连串数据包路径。注意IP不保证每个数据包走的路径都一样。实现主叫方首先发出 TTL=1 的 UDP 数据包,第一个路由...
浅析IP分片原理
f543711700的专栏
02-28 1331
[size=large]浅析IP分片原理 IP分片网络上传输IP报文的一种技术手段。IP协议在传输数据包时,将数据报文分为若干分片进行传输,并在目标系统中进行重组。 不同的链路类型规定有不同最大长度的链路层数据帧,称为链路层MTU(最大传输单元)。常见以太网的MTU为1500,若IP协议在传输数据包时,IP报文长度大于转发接口的MTU,则将数据报文分为若干分片进行传输,分片报文到达接收方时,...
Fragment事务提交的方式
Small_Lee的博客
01-26 2402
一.概述在Android中,我们一般会使用FragmentTransaction的commit方法来提交事务,但是在有些情况下,调用这个方法去提交事务是会发生异常的,先让大家看一下会发生什么异常:意思就是告诉你不能在onSaveInstanceState方法之后去提交事务,这种异常的出现是由于,在Activity的状态保存之后,尝试去提交一个FragmentTransaction,这种现象被称为活动
华为防火墙防火墙的介绍及基本配置
热门推荐
迷逝
11-19 1万+
实验拓扑 防火墙的工作模式 透明网桥模式:可以理解成二层交换机,对三层的IP、路由没有任何影响。透明模式仍然可以抵御外部入侵,但是不能发挥防火墙的全部功能 例如下图:前期IP地址都已经规划好了,组网都已经结束了。突然领导说要加个防火墙,那基本就用透明模式。 路由模式:可以理解成三层路由器 防火墙的区域(zone) 防火墙默认区域的介绍 优先级代表着可信程度,优先级越高表示越信任,即数字越大越信任 [SRG]dis zone 22:15:49 2020/11/18 local #本地区域 pr
ASA防火墙笔记及原理
05-17
3. NAT是ASA防火墙的另一个重要功能,它可以将私有IP地址转换为公网IP地址,以实现网络地址转换和隐藏内部网络拓扑结构。 4. ASA防火墙还可以提供VPN(虚拟专用网络)功能,以加密和保护远程用户和外部设备对内部...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值