본문 바로가기
FortiGate/System

traceroute에 대해 FortiGate가 간헐적으로 timeout 발생하는 경우

by 에티버스이비티 2021. 5. 24.

Traceroute 명령어는 맨 처음 TTL을 1로 설정하여 요청을 보내면, 받은 장비는 TTL을 1 감소시켜 "TTL expired" 패킷을 응답한다. 그러면 보낸 쪽에서는 "TTL expired" 패킷을 보낸 쪽이 첫번째 hop임을 인지하고, TTL을 2로 설정하여 nexthop이 어디인지 확인하는 방식이다.

 

FortiGate의 경우에는 하나의 Source에대해 "TTL expired" 패킷을 초당 1개만 전송하도록 되어있다. 만약 하나의 Source에게 초당 여러개의 "TTL expired" 패킷을 보내야 할 경우 첫번째만 응답하도 나머지는 drop 된다. 이렇게 되면 보낸 source에서는 drop된 응답에 대해서는 timeout이 발생하는 것이다.

 

이는 DoS공격이나 공격을 위한 정찰(reconnaissance)로 부터 FortiGate를 보호하는 목적이다.

 

FortiOS 6.2.8, 6.4.5 이상에서는 이 제한사항이 해제되며 1초에 최대 100개에 대한 "TTL expired" 패킷을 보낼수 있다.

댓글