admin/geedge-jira
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
master
geedge-jira/md/OMPUB-704.md

87 lines
3.5 KiB
Markdown
Raw Permalink Normal View History

first
2025-09-14 21:52:36 +00:00
# CN学习到Psiphon3中继节点IP但是TSG未将其成功Deny
| ID | Creation Date | Assignee | Status |
|----|----------------|----------|--------|
| OMPUB-704 | 2022-11-23T15:51:16.000+0800 | 刘学利 | 已关闭 |
---
现象E21办公室使用Psiphon3客户端拨测测试客户端捕包参见附件Psiphon3_2.pcap其中Server IP=5.157.60.60该IP在Psiphon3_SLOK_ServerIP_Object中被成功学习到但是该连接未被成功阻断pcap包中链接持续TSG中无安全事件日志
排查:
* 安全事件日志拨测期间通过client ip=办公室公网IPServer IP=5.157.60.60未查到对应日志
* 会话日志拨测期间通过client ip=办公室公网IPServer IP=5.157.60.60未查到对应日志。
* 通过NZ查看拨测期间Old Airport PE中10.231.11.3 NPB有DDOS bypass参见附件OAP-PE-T9K001-NPB03所有NPB均无丢包、错报告警**yangwei** commented on *2022-11-29T11:19:29.623+0800*:
* 确认流量是否经过系统建议先在PE站点进行定位
## 在办公网定期执行
{code:java}
echo -e "GET / HTTP/1.0\r\n"|nc 5.157.60.60 80 -v {code}
拨测构造 196.188.136.150->5.157.60.60的HTTP访问流量
## 在PE站点查询196.188.136.150->5.157.60.60的会话日志确认日志数量是否与拨测次数一致且stream_dir都为double
---
**yangwei** commented on *2022-12-01T15:13:37.480+0800*:
2022年11月30日测试结果
1、5.157.60.60该IP目前已正常被执行deny动作
2、临时关闭Psiphon3 deny策略 196.188.136.150E现场办公网公网IP->5.157.60.60成功拨测流量100%经过old airport PE(NPB IP 10.231.11.3)Bole-IGWNPB IP 10.225.11.3仅有C2S侧单向流缺失S2C侧
 
流量拨测结论client IP 196.188.136.150 server IP 5.157.60.60的流量经过TSG系统PE上流量完整IGW上缺失S2C但是不影响按IP作为特征进行deny
 
按本issue描述的现场推测原因有以下两种可能性
# 测试时PE和IGW同时触发Bypass流量没有被TSG正常处理导致无会话日志和安全日志且deny失败
## IGW和PE同时触发Bypass的概率不高且按NZ监控记录当时每秒Bypass的会话数量约20远小于每秒2000+的新建会话数测试流量恰好位于Bypass的会话中概率不高
# 测试时,流量正常经过,但是策略未及时同步+日志丢失
## 该IP被学习为Psiphon3的特征已经有一段时间测试时段未及时同步的可能性不高
## 按11月30日拨测情况IGW站点仍然存在会话日志丢失or查询不出来的情况但是PE和IGW同时丢日志仍然属于极小概率事件
---
**liuxueli** commented on *2023-03-11T14:58:53.916+0800*:
* 在京版环境复现CDN IP未被正常阻断未阻断存在两个原因
** 域名白名单机制
** 端口179(BGP)的流量在交换版bypass未回流到计算版
* 本BUG的原因属于第二种5.157.60.60的链接目的port=179所以未产生效果。
* 现场已将port=179的流量回流到计算版
---
attachment link
2025-09-14 22:26:17 +00:00
# Attachments
first
2025-09-14 21:52:36 +00:00
attachment link
2025-09-14 22:26:17 +00:00
Attachment: app_label.drawio.png
attachment link
2025-09-14 22:27:11 +00:00
attachment link
2025-09-14 22:26:17 +00:00
![app_label.drawio.png](https://gfwleak.exec.li/admin/geedge-jira/raw/branch/master/attachment/33316/app_label.drawio.png)
first
2025-09-14 21:52:36 +00:00
attachment link
2025-09-14 22:26:17 +00:00
Attachment: OAP-PE-T9K001-NPB03+(3).html
attachment link
2025-09-14 22:27:11 +00:00
attachment link
2025-09-14 22:26:17 +00:00
[OAP-PE-T9K001-NPB03+(3).html](https://gfwleak.exec.li/admin/geedge-jira/raw/branch/master/attachment/33155/OAP-PE-T9K001-NPB03+(3).html)
Attachment: Psiphon3_2.pcap
attachment link
2025-09-14 22:27:11 +00:00
attachment link
2025-09-14 22:26:17 +00:00
[Psiphon3_2.pcap](https://gfwleak.exec.li/admin/geedge-jira/raw/branch/master/attachment/33156/Psiphon3_2.pcap)
first
2025-09-14 21:52:36 +00:00
Reference in New Issue Copy Permalink