什么是bypass(转载)
一、 什么是Bypass。
大家知道,网络安全设备一般都是应用在两个或更多的网络之间,比如内网和外网之间,网络安全设备内的应用程序会对通过他的网络封包来进行分析,以判断是否有威胁存在,处理完后再按照一定的路由规则将封包转发出去,而如果这台网络安全设备出现了故障,比如断电或死机后,那连接这台设备上所以网段也就彼此失去联系了,这个时候如果要求各个网络彼此还需要处于连通状态,那么就必须Bypass出面了。
Bypas顾名思义,就是旁路功能,也就是说可以通过特定的触发状态(断电或死机)让两个网络不通过网络安全设备的系统,而直接物理上导通。所以有了 Bypass后,当网络安全设备故障以后,还可以让连接在这台设备上的网络相互导通,当然这个时候这台网络设备也就不会再对网络中的封包做处理了。
下面一个图示说明了Bypass的方式。左边是正常状态下,两个网络的封包都经过应用软件处理后再传播。右边是设备处于Bypass后,设备的应用程序已经不再对网络封包处理了。
二、 Bypass分类即应用方式:
Bypass一般按照控制方式或者称为触发方式来分,可以分为以下几个方式
1、 通过电源触发。这种方式下,一般是在设备没有通电的情况下,Bypass功能打开,如果设备一旦通电后,Bypass立即调整为关闭状态。
2、 由GPIO来控制。在进入OS后,可以通过GPIO来对特定的端口操作,从而实现对Bypass开关的控制。
3、 由Watchdog来控制。这种情况实际是对方式2的一种延伸应用,可以通过Watchdog来控制GPIO Bypass程序的启用与关闭,从而实现对Bypass状态的控制。使用这种方式后,平台如果死机就可以由Watchdog来打开Bypass。
在实际的应用中,这3种状态往往是同时存在的,尤其是1和2两种方式。
下图是研华FWA-3140系列的Bypass状态说明,大家可以参考一下。
在实际的应用中,这3种状态往往是同时存在的,尤其是1和2两种方式。一般的应用方法为:在断电的情况下,设备处于Bypass打开状态,然后设备上电后,由于BIOS可以对Bypass作操作,所以在BIOS接管设备后,Bypass仍然处于打开状态,然后OS启动,当OS启动后,一般会执行GPIO 的Bypass程序,将Bypass关闭,这样可以应用程序就可以发挥作用了。
也就是说在整个启动过程中,几乎不会造成网络的断开。只有在设备刚刚上电到 BIOS接管这短短的2-3秒钟的时间会使网络断开。关于更具体的应用,大家可以参考一下下面这篇文章,这篇文章是以研华FWA-3140为例,做的一个应用,地址为:http://www.panabit.com/document/panabit_bypass.html
三、 Bypass实现的原理分析
上面简单说明了一下Bypass的控制方式,下面针对Bypass工作原理作一下简要的说明,主要从硬件和软件两个层面来分析。以研华的FWA-3140系列产品为研究对象
1、 硬件层面。
在硬件层面上,要实现Bypass,主要使用的就是继电器。这些继电器主要连接两个Bypass网口的各个网口信号线上,下图以其中一根信号线来说明继电器在其中的工作方式。
以电源触发为例,当断电的情况下,继电器内的开关将会跳拨到1的状态,即将LAN 1 的RJ45接口上的Rx直接和LAN2 的RJ45 Tx 导通,而当设备上电以后,开关就会导通到2上,这样如果要使LAN1和LAN2 上的网络间通讯,就需要通过这台设备上的应用程序来实现了。
2、 软件层面。
之前在Bypass的分类中谈到了GPIO和Watchdog两种方式来控制、触发Bypass,实际上这两种方式都是对 GPIO作操作,然后由GPIO来控制硬件上的继电器作相应的跳转。具体一点,就是相应的GPIO如果被置成高电平,那么继电器就相应的跳转到位置1,相反如果GPIO杯置成了低电平,则继电器就跳转到位置2。以研华FWA-3140为例,下图说明了FWA-3140的GPIO所控制的方式。
以上图为例,如果对GPIO27 的Bit3 写入“0”或“1”,就可以对LAN 1/2 所组成的Bypass进行开关的控制,同理如果操作对象为GPIO 28 ,则可以实现对LAN3/4 Bypass的控制。
在DOS下可以用如下的Debug程序来才测试Bypass的控制方法和状态。
有了上面的实例,就可以完全实现由软件来控制Bypass的状态了。
另外对于Watchdog Bypass,实际上是在上面的GPIO控制的基础上,增加Watchdog控制Bypass。首先系统激活Watchdog功能,传统上,当 Watchdog生效后,系统会Reset ,但如果你使用了Watchdog Bypass功能,则在Watchdog生效后,系统不会Reset,而是将相对应的网口Bypass打开,使设备呈现为Bypass状态。实际是这种 Bypass,也是通过GPIO来控制Bypass的,只不过这种情况下,向GPIO写入低电平的工作由Watchdog来执行,不需要另外编程来写 GPIO。
值得注意的事,如果你使用了Watchdog Bypass,则Watchdog将不能再实现让系统Reset了。以研华FWA-3140为例,FWA-3140在主板上,会有一个3PIN的跳线,如果跳成1-2则Watchdog实现传统的Reset动作,如果将跳线设定为2-3,那么就会选择到Watchdog Bypass功能,这种情况下如果Watchdog生效后,系统就会打开Bypass功能。
转载连接:https://blog.csdn.net/AquariusYuxin/article/details/84103162
转载于:https://www.cnblogs.com/awheat/p/e123456.html
什么是bypass(转载)相关推荐
- WebGoat系列实验Cross-Site Scripting (XSS)
WebGoat系列实验Cross-Site Scripting (XSS) PhishingTitle 本次实验是在一个已知存在XSS漏洞的页面进行钓鱼攻击.通过使用XSS与HTML注入,在页面中注入 ...
- SQL Inject of Code to bypass
目录 PHP Code audit Think about bypass filtering String to URL Code String to Base64 Code String to Ja ...
- Bypass WAF Cookbook
PS.之前一直想把零零碎碎的知识整理下来,作为知识沉淀下来,正好借着wooyun峰会的机会将之前的流程又梳理了一遍,于是就有了下文.也希望整理的内容能给甲方工作者或则白帽子带来一些收获. 0x00 概 ...
- Windows Server 2012改造成Windows8的方法(转载)
2019独角兽企业重金招聘Python工程师标准>>> 原文地址:http://bbs.pcbeta.com/viewthread-1088752-1-2.html 都是我收集整理出 ...
- 如何攻击Java Web应用【转载】
越来越多的企业采用Java语言构建企业Web应用程序,基于Java主流的框架和技术及可能存在的风险,成为被关注的重点. 本文从黑盒渗透的角度,总结下Java Web应用所知道的一些可能被利用的入侵点. ...
- 思科IPS系统的bypass mode
思科IPS系统的bypass mode 如果IPS出现问题或者故障,特别是IPS工作在穿越模式下,这将为整个网络造成问题,有时甚至是灾难性的,所以必须定义IPS故障时对数据流量的处理行为,如下图5.4 ...
- [转载]我的WafBypass之道(upload篇)
现在位置: 首页 > 文章 > Web安全 > 正文 我的WafBypass之道(upload篇) 2016 /11/30 15:20 4,901 沙发 0x00 前言 玩waf当然 ...
- 转载:实用 FRIDA 进阶 --- objection :内存漫游、hook anywhere、抓包
转载:实用FRIDA进阶:内存漫游.hook anywhere.抓包:https://www.anquanke.com/post/id/197657 frida github 地址:https://g ...
- 中间件常见安全漏洞(转载)
前言: 转载于公众号 Bypass 点击这里查看原文 第一章:IIS IIS 6 解析漏洞 IIS 7 解析漏洞 PUT任意文件写入 IIS短文件漏洞 HTTP.SYS远程代码执行 (MS15-034 ...
- [转载]学习整理英文单词收藏
lay the roots for 为-打下基础 lead to 导致 lead into 使-陷入,领-进入 lead-to- 将-引向- leakage 泄露(动词leak) leap 飞跃 ...
最新文章
- Android ORMLite 框架的入门用法
- iOS中JS 与OC的交互(JavaScriptCore.framework)
- layui表格获取不到多层数据的解决方案
- hadoop python入门_MRJob 极速入门,Python玩转Hadoop你会么?
- 【Spring注解系列01】@Configuration与@Bean
- C++案例-员工分组
- VS2005水晶报表发布
- js 监听页面url锚点变化 window.onpopstate
- Web Deploy发布网站及常见问题解决方法(图文)
- python保存图片_python保存网络图片问题
- 对文件夹内所有文件批量命名
- 谈谈Android 6.0运行时权限理解
- concurrentbag 删除_你知道吗?这样删除iPhone中的APP腾出的空间会更大
- tomcat中多个域名配置
- 通俗理解贝叶斯,全概率定理
- 万年历单片机c语言程序,51单片机c语言电子万年历完整程序.pdf
- 实时音频编解码之七 预加重
- 春季犯困易误事,是不是你?教你如何3秒清醒,春季也要注意养生
- GB码和BIG5码的互换技术-foxpro版-摘自csdn-faq
- 路由器回执路由配置_IT菜鸟之路由器基础配置(静态、动态、默认路由)
热门文章
- (判断题)两台路由器之间转发的数据包一定不携带VLAN TAG?
- 可自主二次开发的微信云控客服crm系统软件(带源码)
- 怎么配置计算机的ip,怎么设置电脑IP地址
- vue中实现打包时代码压缩
- 图解项目绩效考核指标及实例模板
- android 旋转木马菜单,AndroidCarrouselLayout
- .NET程序员不加班——写在《华为工程师猝死,36岁,22月无休》之后
- 台式计算机电源线 规格,电脑电源线规格的介绍
- pandas Create,Read,Write
- MOSFET管电流方向能反着流吗?体二极管能过多大电流?MOS管构造