geedge-jira/md/OMPUB-704.md

# CN学习到Psiphon3中继节点IP，但是TSG未将其成功Deny

| ID | Creation Date | Assignee | Status |
|----|----------------|----------|--------|
| OMPUB-704 | 2022-11-23T15:51:16.000+0800 | 刘学利 | 已关闭 |


---

现象：E21办公室使用Psiphon3客户端拨测测试（客户端捕包参见附件Psiphon3_2.pcap），其中Server IP=5.157.60.60，该IP在Psiphon3_SLOK_ServerIP_Object中被成功学习到，但是该连接未被成功阻断（pcap包中链接持续，TSG中无安全事件日志）

排查：
 * 安全事件日志：拨测期间，通过client ip=办公室公网IP，Server IP=5.157.60.60未查到对应日志
 * 会话日志：拨测期间，通过client ip=办公室公网IP，Server IP=5.157.60.60未查到对应日志。
 * 通过NZ查看：拨测期间，Old Airport PE中10.231.11.3 NPB有DDOS bypass（参见附件OAP-PE-T9K001-NPB03），所有NPB均无丢包、错报告警；**yangwei** commented on *2022-11-29T11:19:29.623+0800*:

* 确认流量是否经过系统，建议先在PE站点进行定位
 ## 在办公网定期执行
{code:java}
echo -e "GET / HTTP/1.0\r\n"|nc 5.157.60.60 80 -v {code}
拨测构造 196.188.136.150->5.157.60.60的HTTP访问流量
 ## 在PE站点查询196.188.136.150->5.157.60.60的会话日志，确认日志数量是否与拨测次数一致，且stream_dir都为double



---

**yangwei** commented on *2022-12-01T15:13:37.480+0800*:

2022年11月30日测试结果

1、5.157.60.60该IP目前已正常被执行deny动作

2、临时关闭Psiphon3 deny策略， 196.188.136.150（E现场办公网公网IP）->5.157.60.60成功拨测流量，100%经过old airport PE(NPB IP 10.231.11.3)，Bole-IGW（NPB IP 10.225.11.3）仅有C2S侧单向流，缺失S2C侧

 

流量拨测结论，client IP 196.188.136.150 server IP 5.157.60.60的流量经过TSG系统，PE上流量完整，IGW上缺失S2C，但是不影响按IP作为特征进行deny

 

按本issue描述的现场推测原因，有以下两种可能性
 # 测试时，PE和IGW同时触发Bypass，流量没有被TSG正常处理，导致无会话日志和安全日志，且deny失败
 ## IGW和PE同时触发Bypass的概率不高，且按NZ监控记录，当时每秒Bypass的会话数量约20，远小于每秒2000+的新建会话数，测试流量恰好位于Bypass的会话中概率不高
 # 测试时，流量正常经过，但是策略未及时同步+日志丢失
 ## 该IP被学习为Psiphon3的特征已经有一段时间，测试时段未及时同步的可能性不高
 ## 按11月30日拨测情况，IGW站点仍然存在会话日志丢失or查询不出来的情况，但是PE和IGW同时丢日志仍然属于极小概率事件



---

**liuxueli** commented on *2023-03-11T14:58:53.916+0800*:

* 在京版环境复现CDN IP未被正常阻断，未阻断存在两个原因：
 ** 域名白名单机制
 ** 端口179(BGP)的流量在交换版bypass，未回流到计算版
 * 本BUG的原因属于第二种，5.157.60.60的链接目的port=179，所以未产生效果。
 * 现场已将port=179的流量回流到计算版



---



## Attachments

**33316/app_label.drawio.png**

---

**33155/OAP-PE-T9K001-NPB03+(3).html**

---

**33156/Psiphon3_2.pcap**

---