Страница 1 из 1

Что такое SPI у роутеров серии DIR-XXX

Добавлено: 22 дек 2009 12:22, Вт
UncleFather

SPI (stateful packet inspection)- это функция Интернет-маршрутизаторов серии DI-XXX , при включении которой производится дополнительная проверка пакетов на принадлежность существующему соединению.
При установлении любой сессии TCP/IP NAT открывает для нее порт. После завершения сессии порт еще несколько минут остается открытым. Теоретически, если в этот момент производится атака на роутер путем сканирования открытых портов, то появляется возможность проникновения во внутреннюю сеть. Или же атакующий может пытаться посылать пакеты на этот открытый порт в течение сессии.
При включении функции SPI происходит запоминание информации о текущем состоянии сессии и производится анализ всех входящих пакетов для проверки их корректности.
В случае некорректности входящего пакета ( например, адрес отправителя не равен адресу, к которому посылался запрос или номер пакета не соответствует ожидаемому ) - такой пакет блокируется и в логе появляется запись о таком событии.
Оригинал статьи
Другими словами функция SPI (ситуационная фильтрация пакетов) разрешает прохождение через межсетевой экран только тех данных, которые являются составной частью сессии, инициированной одним из пользователей защищенной локальной сети. Прохождение всех остальных данных, инициированное из интернета, блокируется. И когда на роутере включена SPI, то извне к нашей сети будет невозможно подключиться.
Дополнения:

  1. Проверить устройство на открытый порт 23 можно здесь

  2. Проверить устройство на открытые порты можно здесь