패킷 DROP 과 REJECT에 관해

패킷을 drop 하는 것과 reject 하는 것 중에 어떤게 보안 관점에서 좋을까?

 

패킷 drop

패킷을 받고 응답하지 않은 상태에서 패킷을 폐기한다.

 

패킷 reject

패킷을 받고 RST 플래그로 응답 후 연결을 거절한다.

 

 

DROP Vs REJECT

reject 동작으로 설정하면 연결 즉시 클라이언트는 RST 플래그로 응답을 받는다. 응답 값을 받는다는 것은 존재 자체가 확인되는 것이기 때문에 IP 및 Port를 변경하며 포트 오픈된 곳에 악의적인 스캔 작업을 할 수 있다.

drop 동작으로 설정하면 클라이언트는 일정 시간동안 응답이 없기 때문에 스캔 시간도 지연되고 존재 자체도 확인할 수가 없어서 보안적으로 더 좋다고 볼 수 있다.

 

일반적으로 방화벽은 drop 으로 동작하도록 되어있다.