关于SYN,ACK SYN,ACK状态的疑问?
在iptables中文指南
http://iptables-tutorial.frozentux.net/cn/iptables-tutorial-cn-1.1.19.html
中的防火墙示例代码中有一段:
- $IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK
- -m state --state NEW -j REJECT --reject-with tcp-reset
复制代码
指南中说这一句是为了防止“TCP欺骗攻击”,可我感觉这样会reject掉所有的tcp新连接,因为每个新连接都要进行三次握手啊,新连接的第一个SYN不就被reject了,本人愚钝,望高手解惑!
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(4)
iptables -p tcp --tcp-flags SYN,FIN,ACK SYN表示匹配那些SYN标记被设置而FIN和ACK标记没有设置的包
明白了,俺搞错了,不好意思
可这个可以匹配
--tcp-flags SYN
SYN,ACK SYN,ACK
这几个是或逻辑还是与逻辑啊?
TCP的新建连接中,哪有SYN+ACK标志的??这种标志位一般是应答包,不可能出现在NEW中^