Защита от RST-инъекций
Некоторые DPI-системы обрывают соединения, отправляя поддельные TCP RST-пакеты от имени сервера. Браузер принимает такой пакет за настоящий и закрывает соединение.
Эта функция анализирует входящие RST-пакеты и отбрасывает те, которые выглядят как инъекции.
Как работает
b4 применяет три независимых проверки к каждому RST-пакету:
| Проверка | Что отбрасывает |
|---|---|
| RST до ответа сервера | RST пришёл раньше, чем любой реальный ответ от сервера - характерный признак инъекции |
| Повторный RST | Второй и последующие RST на одном соединении - легитимное соединение крайне редко отправляет больше одного |
| Несовпадение TTL | TTL в RST-пакете значительно отличается от TTL первого реального ответа сервера - пакет пришёл с другого узла сети |
Каждая проверка работает независимо. Пакет отбрасывается, если сработала хотя бы одна из них.
Настройки
Включить RST Protection
Переключатель активирует защиту для этого сета.
TTL Tolerance
Допустимая разница в TTL между RST-пакетом и реальным ответом сервера. Диапазон: 1–20, по умолчанию 3.
Значение 3 подходит для большинства сетей. Увеличьте, если b4 ложно отбрасывает легитимные RST (видно в логах).
Логирование
Каждый отброшенный RST отображается в логах с указанием причины: несовпадение TTL, RST до ответа сервера или повторный RST.