免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 操作系统 BSD 问一个pf的问题,掉包严重,但是时延小
最近访问板块 发新帖
查看: 2200 | 回复: 4
打印 上一主题 下一主题

[OpenBSD] 问一个pf的问题,掉包严重,但是时延小 [复制链接]

ioiioi

论坛徽章:
1
2015元宵节徽章 日期:2015-03-06 15:50:39
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2012-02-26 19:50 |只看该作者 |倒序浏览
本帖最后由 ioiioi 于 2012-02-26 19:52 编辑

我用一对x86+openbsd做防火墙,为内网的一些服务器提供服务。
拓扑如下:
                                                 +----> 192.168.33.1
                                                 |
外网用户 <-------> OpenBSD <---+---->192.168.33.2
                                                 |
                                                 +----> 192.168.33.3

现象:
外网用户ping OpenBSD的外网IP,丢包率为12%,时延仅为3-4ms

OpenBSD

  2. # pfctl -s info
  3. root@openbsd-1~: # pfctl -s info
  4. Status: Enabled for 165 days 02:37:47            Debug: err

  6. State Table                          Total             Rate
  7.   current entries                    10000               
  8.   searches                      6906395705          484.1/s
  9.   inserts                        139227366            9.8/s
  10.   removals                       139217366            9.8/s
  11. Counters
  12.   match                          166073183           11.6/s
  13.   bad-offset                             0            0.0/s
  14.   fragment                          717339            0.1/s
  15.   short                            1335657            0.1/s
  16.   normalize                            168            0.0/s
  17.   memory                          23191710            1.6/s
  18.   bad-timestamp                          0            0.0/s
  19.   congestion                          3727            0.0/s
  20.   ip-option                         276306            0.0/s
  21.   proto-cksum                            0            0.0/s
  22.   state-mismatch                     11402            0.0/s
  23.   state-insert                         214            0.0/s
  24.   state-limit                            0            0.0/s
  25.   src-limit                              0            0.0/s
  26.   synproxy                               0            0.0/s

  28. # systat state
  29. 2 users    Load 1.34 1.38 1.43  (61-90 of 6965)     Sun Feb 26 19:20:08 2012
  30. ...
  31. udp   In  192.168.33.1:5071     95.223.18.47:5060      0:1   00:00:46     0      4   1447      0    72    31 69
  32. udp   Out 221.182.xxx.xxx:5071  95.223.18.47:5060      1:0   00:00:46     0      4   1447      0    72    31  1 192.168.33.1:5071
  33. udp   Out 221.182.xxx.xxx:5074  138.246.247.123:5060   1:0   00:00:39     0      1    434      0     0    11  1 192.168.33.1:5074
  34. udp   In  192.168.33.1:5074     138.246.247.124:5060   0:1   00:00:39     0      1    436      0     0    11 69
  35. udp   Out 221.182.xxx.xxx:5074  138.246.247.124:5060   1:0   00:00:39     0      1    436      0     0    11  1 192.168.33.1:5074
  36. 从1-70都是正常的流量,但是71开始到6965都是以上的链接。
复制代码
说明一下,192.168.33.1是内网服务器,221.182.xx.xx是openbsd的外网IP,所以应该是192.168.33.1向95.223.18.47发起连接,在openbsd处进行nat转换。
我估计192.168.33.1有一个爬虫程序在扫描外网。

请问:
1、有什么手段可以限制192.168.33.1访问外网的连接数?
2、限制后,192.168.33.1除了感觉到爬虫速度变慢后,还有什么不良的影响?
ioiioi

论坛徽章:
1
2015元宵节徽章 日期:2015-03-06 15:50:39
2 [报告]
发表于 2012-02-26 20:24 |只看该作者

  2. # tcpdump -nvi fxp1 icmp
  3. ...
  4. 19:56:02.790834 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65492, len 383)
  5. 19:56:02.794588 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65493, len 384)
  6. 19:56:02.799592 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65494, len 384)
  7. 19:56:02.804584 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65495, len 384)
  8. 19:56:02.810684 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65496, len 383)
  9. 19:56:02.814734 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65497, len 384)
  10. 19:56:02.819554 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65498, len 384)
  11. 19:56:02.825535 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65499, len 383)
  12. 19:56:02.829667 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65500, len 384)
  13. 19:56:02.836571 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65501, len 383)
  14. 19:56:02.841590 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65502, len 384)
  15. 19:56:02.847645 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65503, len 384)
  16. 19:56:02.852710 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65504, len 382)
  17. 19:56:02.857773 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65505, len 382)
  18. 19:56:02.862887 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65506, len 384)
  19. 19:56:02.868088 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65507, len 384)
  20. 19:56:02.872816 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65508, len 384)
  21. 19:56:02.878602 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65509, len 383)
  22. 19:56:02.882952 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65510, len 384)
  23. 19:56:02.887846 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65511, len 384)
  24. 19:56:02.892771 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65512, len 382)
  25. 19:56:02.897926 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65513, len 382)
  26. 19:56:02.903709 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65514, len 383)
  27. ^C
复制代码
协议是icmp,为什么还有udp port 5060,遭到icmp flood攻击了?

我搜索了一下88.84.131.14,是来自德国的一个IP
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
lsstarboy

论坛徽章:
54
2017金鸡报晓 日期:2017-02-08 10:39:42操作系统版块每日发帖之星 日期:2016-03-08 06:20:00操作系统版块每日发帖之星 日期:2016-03-07 06:20:00操作系统版块每日发帖之星 日期:2016-02-22 06:20:00操作系统版块每日发帖之星 日期:2016-01-29 06:20:00操作系统版块每日发帖之星 日期:2016-01-27 06:20:00操作系统版块每日发帖之星 日期:2016-01-20 06:20:00操作系统版块每日发帖之星 日期:2016-01-06 06:20:0015-16赛季CBA联赛之江苏 日期:2015-12-21 20:00:24操作系统版块每日发帖之星 日期:2015-12-21 06:20:00IT运维版块每日发帖之星 日期:2015-11-17 06:20:002015亚冠之广州恒大 日期:2015-11-12 10:58:02
3 [报告]
发表于 2012-02-27 10:29 |只看该作者
应该是遇到攻击了,那个地址也不一定是真的。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
ioiioi

论坛徽章:
1
2015元宵节徽章 日期:2015-03-06 15:50:39
4 [报告]
发表于 2012-02-27 13:02 |只看该作者
那我应该如何用pf来防御?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
lsstarboy

论坛徽章:
54
2017金鸡报晓 日期:2017-02-08 10:39:42操作系统版块每日发帖之星 日期:2016-03-08 06:20:00操作系统版块每日发帖之星 日期:2016-03-07 06:20:00操作系统版块每日发帖之星 日期:2016-02-22 06:20:00操作系统版块每日发帖之星 日期:2016-01-29 06:20:00操作系统版块每日发帖之星 日期:2016-01-27 06:20:00操作系统版块每日发帖之星 日期:2016-01-20 06:20:00操作系统版块每日发帖之星 日期:2016-01-06 06:20:0015-16赛季CBA联赛之江苏 日期:2015-12-21 20:00:24操作系统版块每日发帖之星 日期:2015-12-21 06:20:00IT运维版块每日发帖之星 日期:2015-11-17 06:20:002015亚冠之广州恒大 日期:2015-11-12 10:58:02
5 [报告]
发表于 2012-02-27 17:32 |只看该作者
不懂pf,但是ipfw 有个icmp的选项。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP