免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 1938 | 回复: 4

[OpenBSD] 问一个pf的问题,掉包严重,但是时延小 [复制链接]

论坛徽章:
1
2015元宵节徽章
日期:2015-03-06 15:50:39
发表于 2012-02-26 19:50 |显示全部楼层
本帖最后由 ioiioi 于 2012-02-26 19:52 编辑

我用一对x86+openbsd做防火墙,为内网的一些服务器提供服务。
拓扑如下:
                                                 +----> 192.168.33.1
                                                 |
外网用户 <-------> OpenBSD <---+---->192.168.33.2
                                                 |
                                                 +----> 192.168.33.3

现象:
外网用户ping OpenBSD的外网IP,丢包率为12%,时延仅为3-4ms

OpenBSD

  1. # pfctl -s info
  2. root@openbsd-1~: # pfctl -s info
  3. Status: Enabled for 165 days 02:37:47            Debug: err

  4. State Table                          Total             Rate
  5.   current entries                    10000               
  6.   searches                      6906395705          484.1/s
  7.   inserts                        139227366            9.8/s
  8.   removals                       139217366            9.8/s
  9. Counters
  10.   match                          166073183           11.6/s
  11.   bad-offset                             0            0.0/s
  12.   fragment                          717339            0.1/s
  13.   short                            1335657            0.1/s
  14.   normalize                            168            0.0/s
  15.   memory                          23191710            1.6/s
  16.   bad-timestamp                          0            0.0/s
  17.   congestion                          3727            0.0/s
  18.   ip-option                         276306            0.0/s
  19.   proto-cksum                            0            0.0/s
  20.   state-mismatch                     11402            0.0/s
  21.   state-insert                         214            0.0/s
  22.   state-limit                            0            0.0/s
  23.   src-limit                              0            0.0/s
  24.   synproxy                               0            0.0/s

  25. # systat state
  26. 2 users    Load 1.34 1.38 1.43  (61-90 of 6965)     Sun Feb 26 19:20:08 2012
  27. ...
  28. udp   In  192.168.33.1:5071     95.223.18.47:5060      0:1   00:00:46     0      4   1447      0    72    31 69
  29. udp   Out 221.182.xxx.xxx:5071  95.223.18.47:5060      1:0   00:00:46     0      4   1447      0    72    31  1 192.168.33.1:5071
  30. udp   Out 221.182.xxx.xxx:5074  138.246.247.123:5060   1:0   00:00:39     0      1    434      0     0    11  1 192.168.33.1:5074
  31. udp   In  192.168.33.1:5074     138.246.247.124:5060   0:1   00:00:39     0      1    436      0     0    11 69
  32. udp   Out 221.182.xxx.xxx:5074  138.246.247.124:5060   1:0   00:00:39     0      1    436      0     0    11  1 192.168.33.1:5074
  33. 从1-70都是正常的流量,但是71开始到6965都是以上的链接。
复制代码
说明一下,192.168.33.1是内网服务器,221.182.xx.xx是openbsd的外网IP,所以应该是192.168.33.1向95.223.18.47发起连接,在openbsd处进行nat转换。
我估计192.168.33.1有一个爬虫程序在扫描外网。

请问:
1、有什么手段可以限制192.168.33.1访问外网的连接数?
2、限制后,192.168.33.1除了感觉到爬虫速度变慢后,还有什么不良的影响?

论坛徽章:
1
2015元宵节徽章
日期:2015-03-06 15:50:39
发表于 2012-02-26 20:24 |显示全部楼层

  1. # tcpdump -nvi fxp1 icmp
  2. ...
  3. 19:56:02.790834 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65492, len 383)
  4. 19:56:02.794588 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65493, len 384)
  5. 19:56:02.799592 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65494, len 384)
  6. 19:56:02.804584 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65495, len 384)
  7. 19:56:02.810684 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65496, len 383)
  8. 19:56:02.814734 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65497, len 384)
  9. 19:56:02.819554 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65498, len 384)
  10. 19:56:02.825535 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65499, len 383)
  11. 19:56:02.829667 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65500, len 384)
  12. 19:56:02.836571 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65501, len 383)
  13. 19:56:02.841590 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65502, len 384)
  14. 19:56:02.847645 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65503, len 384)
  15. 19:56:02.852710 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65504, len 382)
  16. 19:56:02.857773 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65505, len 382)
  17. 19:56:02.862887 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65506, len 384)
  18. 19:56:02.868088 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65507, len 384)
  19. 19:56:02.872816 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65508, len 384)
  20. 19:56:02.878602 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65509, len 383)
  21. 19:56:02.882952 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65510, len 384)
  22. 19:56:02.887846 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65511, len 384)
  23. 19:56:02.892771 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65512, len 382)
  24. 19:56:02.897926 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65513, len 382)
  25. 19:56:02.903709 88.84.131.14 > 221.182.xxx.xxx: icmp: 88.84.131.14 udp port 5060 unreachable [tos 0xc0] (ttl 42, id 65514, len 383)
  26. ^C
复制代码
协议是icmp,为什么还有udp port 5060,遭到icmp flood攻击了?

我搜索了一下88.84.131.14,是来自德国的一个IP

论坛徽章:
54
2017金鸡报晓
日期:2017-02-08 10:39:42操作系统版块每日发帖之星
日期:2016-03-08 06:20:00操作系统版块每日发帖之星
日期:2016-03-07 06:20:00操作系统版块每日发帖之星
日期:2016-02-22 06:20:00操作系统版块每日发帖之星
日期:2016-01-29 06:20:00操作系统版块每日发帖之星
日期:2016-01-27 06:20:00操作系统版块每日发帖之星
日期:2016-01-20 06:20:00操作系统版块每日发帖之星
日期:2016-01-06 06:20:0015-16赛季CBA联赛之江苏
日期:2015-12-21 20:00:24操作系统版块每日发帖之星
日期:2015-12-21 06:20:00IT运维版块每日发帖之星
日期:2015-11-17 06:20:002015亚冠之广州恒大
日期:2015-11-12 10:58:02
发表于 2012-02-27 10:29 |显示全部楼层
应该是遇到攻击了,那个地址也不一定是真的。

论坛徽章:
1
2015元宵节徽章
日期:2015-03-06 15:50:39
发表于 2012-02-27 13:02 |显示全部楼层
那我应该如何用pf来防御?

论坛徽章:
54
2017金鸡报晓
日期:2017-02-08 10:39:42操作系统版块每日发帖之星
日期:2016-03-08 06:20:00操作系统版块每日发帖之星
日期:2016-03-07 06:20:00操作系统版块每日发帖之星
日期:2016-02-22 06:20:00操作系统版块每日发帖之星
日期:2016-01-29 06:20:00操作系统版块每日发帖之星
日期:2016-01-27 06:20:00操作系统版块每日发帖之星
日期:2016-01-20 06:20:00操作系统版块每日发帖之星
日期:2016-01-06 06:20:0015-16赛季CBA联赛之江苏
日期:2015-12-21 20:00:24操作系统版块每日发帖之星
日期:2015-12-21 06:20:00IT运维版块每日发帖之星
日期:2015-11-17 06:20:002015亚冠之广州恒大
日期:2015-11-12 10:58:02
发表于 2012-02-27 17:32 |显示全部楼层
不懂pf,但是ipfw 有个icmp的选项。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

DTCC2020中国数据库技术大会

【架构革新 高效可控】2020年12月21日-23日第十一届中国数据库技术大会将在北京隆重召开。

大会设置2大主会场,20+技术专场,将邀请超百位行业专家,重点围绕数据架构、AI与大数据、传统企业数据库实践和国产开源数据库等内容展开分享和探讨,为广大数据领域从业人士提供一场年度盛会和交流平台。

http://dtcc.it168.com


大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP