81 lines
3.1 KiB
Markdown
81 lines
3.1 KiB
Markdown
|
# CN学习到Psiphon3中继节点IP,但是TSG未将其成功Deny
|
|||
|
|
|
|||
|
|
| ID | Creation Date | Assignee | Status |
|
|||
|
|
|----|----------------|----------|--------|
|
|||
|
|
| OMPUB-704 | 2022-11-23T15:51:16.000+0800 | 刘学利 | 已关闭 |
|
|||
|
|
|
|||
|
|
|
|||
|
|
---
|
|||
|
|
|
|||
|
|
现象:E21办公室使用Psiphon3客户端拨测测试(客户端捕包参见附件Psiphon3_2.pcap),其中Server IP=5.157.60.60,该IP在Psiphon3_SLOK_ServerIP_Object中被成功学习到,但是该连接未被成功阻断(pcap包中链接持续,TSG中无安全事件日志)
|
|||
|
|
|
|||
|
|
排查:
|
|||
|
|
* 安全事件日志:拨测期间,通过client ip=办公室公网IP,Server IP=5.157.60.60未查到对应日志
|
|||
|
|
* 会话日志:拨测期间,通过client ip=办公室公网IP,Server IP=5.157.60.60未查到对应日志。
|
|||
|
|
* 通过NZ查看:拨测期间,Old Airport PE中10.231.11.3 NPB有DDOS bypass(参见附件OAP-PE-T9K001-NPB03),所有NPB均无丢包、错报告警;**yangwei** commented on *2022-11-29T11:19:29.623+0800*:
|
|||
|
|
|
|||
|
|
* 确认流量是否经过系统,建议先在PE站点进行定位
|
|||
|
|
## 在办公网定期执行
|
|||
|
|
{code:java}
|
|||
|
|
echo -e "GET / HTTP/1.0\r\n"|nc 5.157.60.60 80 -v {code}
|
|||
|
|
拨测构造 196.188.136.150->5.157.60.60的HTTP访问流量
|
|||
|
|
## 在PE站点查询196.188.136.150->5.157.60.60的会话日志,确认日志数量是否与拨测次数一致,且stream_dir都为double
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
---
|
|||
|
|
|
|||
|
|
**yangwei** commented on *2022-12-01T15:13:37.480+0800*:
|
|||
|
|
|
|||
|
|
2022年11月30日测试结果
|
|||
|
|
|
|||
|
|
1、5.157.60.60该IP目前已正常被执行deny动作
|
|||
|
|
|
|||
|
|
2、临时关闭Psiphon3 deny策略, 196.188.136.150(E现场办公网公网IP)->5.157.60.60成功拨测流量,100%经过old airport PE(NPB IP 10.231.11.3),Bole-IGW(NPB IP 10.225.11.3)仅有C2S侧单向流,缺失S2C侧
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
流量拨测结论,client IP 196.188.136.150 server IP 5.157.60.60的流量经过TSG系统,PE上流量完整,IGW上缺失S2C,但是不影响按IP作为特征进行deny
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
按本issue描述的现场推测原因,有以下两种可能性
|
|||
|
|
# 测试时,PE和IGW同时触发Bypass,流量没有被TSG正常处理,导致无会话日志和安全日志,且deny失败
|
|||
|
|
## IGW和PE同时触发Bypass的概率不高,且按NZ监控记录,当时每秒Bypass的会话数量约20,远小于每秒2000+的新建会话数,测试流量恰好位于Bypass的会话中概率不高
|
|||
|
|
# 测试时,流量正常经过,但是策略未及时同步+日志丢失
|
|||
|
|
## 该IP被学习为Psiphon3的特征已经有一段时间,测试时段未及时同步的可能性不高
|
|||
|
|
## 按11月30日拨测情况,IGW站点仍然存在会话日志丢失or查询不出来的情况,但是PE和IGW同时丢日志仍然属于极小概率事件
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
---
|
|||
|
|
|
|||
|
|
**liuxueli** commented on *2023-03-11T14:58:53.916+0800*:
|
|||
|
|
|
|||
|
|
* 在京版环境复现CDN IP未被正常阻断,未阻断存在两个原因:
|
|||
|
|
** 域名白名单机制
|
|||
|
|
** 端口179(BGP)的流量在交换版bypass,未回流到计算版
|
|||
|
|
* 本BUG的原因属于第二种,5.157.60.60的链接目的port=179,所以未产生效果。
|
|||
|
|
* 现场已将port=179的流量回流到计算版
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
---
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
## Attachments
|
|||
|
|
|
|||
|
|
**33316/app_label.drawio.png**
|
|||
|
|
|
|||
|
|
---
|
|||
|
|
|
|||
|
|
**33155/OAP-PE-T9K001-NPB03+(3).html**
|
|||
|
|
|
|||
|
|
---
|
|||
|
|
|
|||
|
|
**33156/Psiphon3_2.pcap**
|
|||
|
|
|
|||
|
|
---
|
|||
|
|
|