基于Linux系统的包过滤防火墙(2)

核心提示： 2.1.3 发送连接复位包结束TCP连接4次握手不是结束TCP连接的唯一方法，有时，基于Linux系统的包过滤防火墙(2)(2)，如果主机需要尽快关闭连接（或连接超时，端口或主机不可达），此外，下面类型的ICMP信息建议丢弃，RST包将被发送，注意

2.1.3 发送连接复位包结束TCP连接

4次握手不是结束TCP连接的唯一方法。有时，如果主机需要尽快关闭连接（或连接超时，端口或主机不可达），RST包将被发送。注意，由于RST包不是 TCP连接中的必须部分，可以只发送RST包（即不带ACK标记）。但在正常的TCP连接中RST包可以带ACK确认标记。注意，RST包是可以不要收方进行确认的。

2.1.4 无效的TCP标记

至此，已经看到了SYN、ACK、FIN、和RST标记。另外，还有PSH和URG标记。

最常见的非法组合是SYN/FIN包。注意，由于SYN包是用来初始化连接的，它不可能和FIN以及RST标记一起出现，这也是一个恶意攻击。

当网络中出现别的一些组合（如SYN/FIN/PSH、SYN/FIN/RST、SYN/FIN/RST/PSH），很明显网络肯定受到了攻击。

另外，已知的非法包还有FIN（无ACK标记）和“NULL”包。如同早先讨论的，由于ACK/FIN包的出现是为了结束一个TCP连接，那么正常的 FIN包总是带有ACK标记的。“NULL”包就是没有任何TCP标记的包（URG、ACK、PSH、RST、SYN、FIN都为0）。

在正常的网络活动下，到目前为止TCP协议栈不可能产生带有上面提到的任何一个标记组合的TCP包。当你发现这些不正常的包时，肯定有人对你的网络不怀好意。

2.1.5 ICMP类型

ICMP是网间控制消息协议，用来在主机/路由器之间传递控制信息的协议。ICMP包可以包含诊断信息（ping 、 tracerouter）、错误信息（网络/主机/端口不可达），信息（时间戳timestamp,地址掩码address mask等）、或控制信息（source quench、redirect等）。

使用包过滤可以拒绝指定的ICMP类型。

此外，下面类型的ICMP信息建议丢弃。

Redirect(5)、Alternate Host Address(6)、Router Advertisement(9)能用来转发通信。