Traceroute 명령어는 맨 처음 TTL을 1로 설정하여 요청을 보내면, 받은 장비는 TTL을 1 감소시켜 "TTL expired" 패킷을 응답한다. 그러면 보낸 쪽에서는 "TTL expired" 패킷을 보낸 쪽이 첫번째 hop임을 인지하고, TTL을 2로 설정하여 nexthop이 어디인지 확인하는 방식이다.
FortiGate의 경우에는 하나의 Source에대해 "TTL expired" 패킷을 초당 1개만 전송하도록 되어있다. 만약 하나의 Source에게 초당 여러개의 "TTL expired" 패킷을 보내야 할 경우 첫번째만 응답하도 나머지는 drop 된다. 이렇게 되면 보낸 source에서는 drop된 응답에 대해서는 timeout이 발생하는 것이다.
이는 DoS공격이나 공격을 위한 정찰(reconnaissance)로 부터 FortiGate를 보호하는 목적이다.
FortiOS 6.2.8, 6.4.5 이상에서는 이 제한사항이 해제되며 1초에 최대 100개에 대한 "TTL expired" 패킷을 보낼수 있다.
'FortiGate > System' 카테고리의 다른 글
| 여러개의 NP6가 있는 장비에서 LACP 제약 사항 (0) | 2021.05.28 |
|---|---|
| config 파일에서 패스워드에 대한 암호화 알고리즘 (0) | 2021.05.27 |
| FortiOS v6.4 : "# diag sys top-summary" 명령어 없어짐 (0) | 2021.05.17 |
| CLI Alias 기능을 이용하여 여러개의 CLI명령어를 하나로 통합 실행 (0) | 2021.05.10 |
| FortiOS v7.0 : FortiGuard Schedule update option 변경 (0) | 2021.04.20 |
댓글