kaituyoと申します。
FWを経由して、FTPで1MB以上のファイルを取得しようとすると途中で、通信ができなくなる事象がありました。(小さいサイズは正常終了)
FWのオプションで「シーケンス番号が許容範囲の外側であるTCPパケットは拒否する」を無効にすると正常に通信できました。ただ、なんで可能になったのか分かりません。
そもそも「シーケンス番号の許容範囲」ってなんですか?
この機能を無効にするとFWとして問題あるのですか?
今回のケースで、何が直接的原因だったのでしょうか?
上記3点どれでもいいので、御助言頂けないでしょうか?
宜しく御願いします。
No.2ベストアンサー
- 回答日時:
TCPでは、自分の有効なバッファサイズを相手に通知するWindow Sizeというものがあります。
送り元はそのサイズ以下の範囲でデータを送信します。おそらくこの製品でいう許容範囲とは、パケット中のシーケンス番号が
「現在のシーケンス番号」と
「(現在のシーケンス番号+Window Size)の番号」の間にある範囲を言っているのでしょう。
通常この範囲を超えて送信することはプロトコル違反です。
この範囲から外れているものはブロックすると、攻撃者が攻撃パケットを作成するときに、シーケンス番号をこの有効範囲に計算する必要があるので、セキュリティレベルは高くなると言えます。
この機能を有効にするとダメという現象はそのとき流れているパケットを見ないとはっきりしませんが、ファイルサイズが影響しているということから考えられる事として、
シーケンス番号が0xffffffffを超えて0x00000000に戻ったケースかもしれませんね。
これはプロトコル上正常なのですが、ファイアウォール内でのチェック時の計算にもし誤りがあればブロックしてしまいますね。ただ1MB程度ではこの境界を必ず越えるわけではないので、この仮説では上手くいく場合もあるはずです。
この辺はシーケンス番号の初期値にも依存しますのでパケットを見ないと断定はできません。
なるほど、詳しい御回答ありがとうございます。
ただ、毎回同じところで通信が停止するので、自分の予想としましては、FTPデータの再送が発生して、再送パケットのシーケンス番号が、受信完了していたパケットのシーケンス番号とあまりにもかけ離れていたのではないかとも考えられますね。
いろいろ試してみます。
No.3
- 回答日時:
> シーケンス番号に、利用できる範囲が機器毎に設定されているのでしょうか?
申し訳ございません。
ネットワーク機器に精通した人間(専門家)ではないので、お答えできません。
No.1
- 回答日時:
rara_sunさん、回答ありがとうございます。
シーケンス番号は、ある程度理解しているつもりなのですが、「シーケンス番号の許容範囲」というのが分かりません。シーケンス番号に、利用できる範囲が機器毎に設定されているのでしょうか?
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- バイク免許・教習所 原付の範囲の改正について 7 2023/04/10 18:31
- 借地・借家 簡易裁判所の退去費用の裁判の答弁書について 1 2023/03/07 19:33
- 法学 根抵当権分割譲渡登記 債権の範囲について 1 2023/02/06 10:59
- 法学 労働紛争の口外禁止条項とはどこまでの制限がありますか? 2 2022/10/15 22:48
- その他(ニュース・時事問題) 「ビッグモーター」の自動車修理の不正 11 2023/07/22 12:11
- その他(交通機関・地図) 交通ルールの法令について。 ①自動車が優先道路(法定速度50キロ)を走行中、信号機のない見通しの悪い 3 2023/06/07 11:19
- iOS Gragebandでのみ左クリックが有効にならない 1 2022/08/19 13:18
- ダイエット・食事制限 体型維持って体重以外も見ますか? 私は1番小さいサイズのスカートが余裕ではいるかどうかです。 体重軽 2 2023/01/22 12:43
- 中古バイク 原付免許の改正って検討されていないの? 4 2023/08/10 11:42
- 固定電話・IP電話・FAX 急に間違い電話が増えた 4 2023/07/27 00:40
関連するカテゴリからQ&Aを探す
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
Win11でMicrosoftディフェンダ...
-
セキュリティソフト カスペルス...
-
ノートンのモバイル版をiPhone...
-
学校のChrome Bookのロックの解...
-
複数のアンチウイルスソフト 対...
-
Windows11用のセキュリティソフト
-
パソコンの警告
-
Windowsセキュリティに「脅威が...
-
結局のところWindows PCに有料...
-
ぶっちゃけWindows10/11にセキ...
-
マカフィーの効果範囲
-
0120613184は、どこの番号です...
-
邪魔なテロップを消すには、ど...
-
ウイルスバスタークラウドについて
-
ノートンの設定方法
-
esetが期限切れの場合、その後...
-
formatfactoryをダウンロードし...
-
頭の監視
-
「マカフィー マルチ デバイス ...
-
会社のPCについて
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
「239.255.255.250:1900」宛の...
-
同セグメント内に流れているパ...
-
マルチキャストのExcludeモード...
-
NT Kernel System(ntoskrnl.exe...
-
ルータとブリッジの違い?
-
ログを取るソフトはあるのでし...
-
Overlapping Fragment Attackに...
-
DHCPで0.0.0.xxのアドレス取得
-
侵入検知
-
シーケンス番号の許容範囲について
-
基本的なことですが、『ポート...
-
ルーターへの外部からの不正ア...
-
ブラウザからのSSL通信の動きに...
-
tracetコマンド
-
ルータのファイヤウォール機能...
-
IPマスカレードのセキュリティ
-
tracerouteコマンドとポート番号
-
WEBサーバーなど公開しているサ...
-
スイッチングハブ
-
Dummy Hub について教えてください
おすすめ情報