免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 操作系统 Linux系统管理 关于网络坏包对linux防火墙的影响
最近访问板块 发新帖
查看: 1547 | 回复: 3
打印 上一主题 下一主题

[网络管理] 关于网络坏包对linux防火墙的影响 [复制链接]

liyanux

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2006-09-28 09:41 |只看该作者 |倒序浏览
近来在防火墙日志中发现大量坏包,如下:

  2. Sep 26 10:25:41 fw1 kernel: MALFORMED PACKED FOUND: IN=eth4 OUT= MAC=00:d0:68:0b:b9:bb:00:e0:fc:5a:f3:18:08:00 SRC=219.129.21.100 DST=59.46.32.60 LEN=44 TOS=0x00 PREC=0x00 TTL=50 ID=30064 DF PROTO=TCP SPT=7000 DPT=42274 WINDOW=0 RES=0x04 ACK SYN URGP=0
  3. Sep 26 10:25:44 fw1 kernel: ipt_unclean: TCP reserved bits not zero
复制代码

经过分析发现,坏包主要是从外网发过来的,目的是防火墙本身或者其他主机,根据观察,防火墙过一段时间会死机(时间不固定,1周或者2,3天时间),重启后会正常工作一段时间,过段时间会重复同样的问题。防火墙已经调用ipt_unclean模块在filter表的input链中和nat表的prerouting链中将数据包drop掉,用iptables -vnL看到了数据包的匹配,但依然出现同样的问题,请教各位,这种情况有没有遇到过,有没有好的解决办法,谢谢。

[ 本帖最后由 liyanux 于 2006-9-28 16:15 编辑 ]
depthblue_xsc

论坛徽章:
0
2 [报告]
发表于 2006-09-29 11:21 |只看该作者
把ifconfig 的结果贴上来
另外抓包看一下,是什么样的坏包
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
liyanux

论坛徽章:
0
3 [报告]
发表于 2006-09-29 13:58 |只看该作者
ifconfig输出:

  2.           RX packets:12325763 errors:0 dropped:0 overruns:0 frame:0
  3.           TX packets:12119385 errors:0 dropped:0 overruns:0 carrier:0
  4.           collisions:0 txqueuelen:1000
  5.           RX bytes:3006191302 (2866.9 Mb)  TX bytes:1879338573 (1792.2 Mb)
  6.           Base address:0xac00 Memory:fc9e0000-fca00000
复制代码

从日志分析看主要是mac地址(00:d0:68:0b:b9:bb:00:e0:fc:5a:f3:18:08:00)异常和ipt_unclean: TCP reserved bits not zero。另外昨天我用sniffer模拟发包,将源端口改为0时,同样出现mac地址异常的情况,请问各位有没有遇到过这种情况。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
liyanux

论坛徽章:
0
4 [报告]
发表于 2006-09-29 16:40 |只看该作者
看了下ipt_log.c,里面有这么一段:

  2.         if (in && !out) {
  3.                 /* MAC logging for input chain only. */
  4.                 printk("MAC=");
  5.                 if ((*pskb)->dev && (*pskb)->dev->hard_header_len && (*pskb)->mac.raw != (void*)iph) {
  6.                         int i;
  7.                         unsigned char *p = (*pskb)->mac.raw;
  8.                         for (i = 0; i < (*pskb)->dev->hard_header_len; i++,p++)
  9.                                 printk("%02x%c", *p,
  10.                                        i==(*pskb)->dev->hard_header_len - 1
  11.                                        ? ' ':':');
  12.                 } else
  13.                         printk(" ");
  14.         }
复制代码

根据测试的情况,包是发往本机的,没有outdev,所以会触发mac地址的输出判断,因而会有以上的输出。而产生日志的原因是ipt_unclean模块判断tcp的reserved bits不为0。我想问的是这种坏包对linux防火墙.tcp/ip的协议栈的影响有多大,在一定程度是否引起系统down机。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP