フィン/RST の後の TCP セッションタイムアウトの意味

概要

"TCP のセッション タイムアウト フィン/RST 後「パロ ・ アルトのネットワーク デバイスは、事実上 TIME WAIT 状態期間の値です。パロアルトネットワークデバイスの [セッション情報を表示] コマンドを実行すると、次のような値が表示されます。

> セッション情報の表示

--------------------------------------------------------------------------------

セッション タイムアウト

  TCP のデフォルトのタイムアウト時間: 3600 秒

  SYN-ACK を受信する前に TCP セッションのタイムアウト: 5 秒

  3 ウェイ ハンドシェイクの前に TCP セッションのタイムアウト: 10 秒

  フィン/RST の後の TCP セッションタイムアウト:30 秒  

  UDP のデフォルトのタイムアウト時間: 30 秒

  ICMP のデフォルトのタイムアウト時間: 6 秒

  他の IP のデフォルトのタイムアウト時間: 30 秒

  非脱落型ポータル セッション タイムアウト: 30 秒

  破棄状態のセッションのタイムアウト:

    TCP: 90 秒、UDP: 60 秒、その他の IP プロトコル: 60 秒

--------------------------------------------------------------------------------

詳細

それはまた最終的な ACK を送信エンドポイントと最初の FIN を送信するエンドポイントが TIME_WAIT 状態に入る このエンドポイントは接続状態を維持し、情報が最終的な ACK またはその他のエンドポイントのひれが失われた最後の ACK の再送信。

TIME_WAIT 状態の期間中は 2 * MSL (セグメントの最大有効期間)。パケットがネットワークをさまようことができます時間の最大量は、MSL 秒と見なされます。2 の要因は、までの往復です。MSL のもともと推奨値 (RFC 1337) 120 秒であった。バークレーから派生した実装は通常 30 秒を使用します。

今日、TIME_WAIT 値は異なります、ベンダー、30 から一般的なネットワーク デバイスに対して 60 秒の範囲します。パロ ・ アルトのネットワーク デバイスは、30 秒の TIME_WAIT の値を持ちます。

構成オプション

パン-OS の 4.1.x および 5.0.x、TIME_WAIT 次の CLI コマンドを実行して変更できます。

> セッション タイムアウト-tcpwait を設定<1-60></1-60>

パン OS 4.1.14、5.0.6、タイマーを 10 分にまで拡張されています。

> セッション タイムアウト-tcpwait を設定<1-600></1-600>

この設定は、[デバイス] で WebGUI から変更もできます > セットアップ > セッション > と TCP のセッション タイムアウトを待ちます。

また見なさい

詳細については、RFC 1337、tcp、TIME_WAIT 暗殺の危険性を参照してください。

所有者: kkondo