3.5 KiB
CN学习到Psiphon3中继节点IP,但是TSG未将其成功Deny
| ID | Creation Date | Assignee | Status |
|---|---|---|---|
| OMPUB-704 | 2022-11-23T15:51:16.000+0800 | 刘学利 | 已关闭 |
现象:E21办公室使用Psiphon3客户端拨测测试(客户端捕包参见附件Psiphon3_2.pcap),其中Server IP=5.157.60.60,该IP在Psiphon3_SLOK_ServerIP_Object中被成功学习到,但是该连接未被成功阻断(pcap包中链接持续,TSG中无安全事件日志)
排查:
-
安全事件日志:拨测期间,通过client ip=办公室公网IP,Server IP=5.157.60.60未查到对应日志
-
会话日志:拨测期间,通过client ip=办公室公网IP,Server IP=5.157.60.60未查到对应日志。
-
通过NZ查看:拨测期间,Old Airport PE中10.231.11.3 NPB有DDOS bypass(参见附件OAP-PE-T9K001-NPB03),所有NPB均无丢包、错报告警;yangwei commented on 2022-11-29T11:19:29.623+0800:
-
确认流量是否经过系统,建议先在PE站点进行定位
在办公网定期执行
{code:java} echo -e "GET / HTTP/1.0\r\n"|nc 5.157.60.60 80 -v {code} 拨测构造 196.188.136.150->5.157.60.60的HTTP访问流量
在PE站点查询196.188.136.150->5.157.60.60的会话日志,确认日志数量是否与拨测次数一致,且stream_dir都为double
yangwei commented on 2022-12-01T15:13:37.480+0800:
2022年11月30日测试结果
1、5.157.60.60该IP目前已正常被执行deny动作
2、临时关闭Psiphon3 deny策略, 196.188.136.150(E现场办公网公网IP)->5.157.60.60成功拨测流量,100%经过old airport PE(NPB IP 10.231.11.3),Bole-IGW(NPB IP 10.225.11.3)仅有C2S侧单向流,缺失S2C侧
流量拨测结论,client IP 196.188.136.150 server IP 5.157.60.60的流量经过TSG系统,PE上流量完整,IGW上缺失S2C,但是不影响按IP作为特征进行deny
按本issue描述的现场推测原因,有以下两种可能性
测试时,PE和IGW同时触发Bypass,流量没有被TSG正常处理,导致无会话日志和安全日志,且deny失败
IGW和PE同时触发Bypass的概率不高,且按NZ监控记录,当时每秒Bypass的会话数量约20,远小于每秒2000+的新建会话数,测试流量恰好位于Bypass的会话中概率不高
测试时,流量正常经过,但是策略未及时同步+日志丢失
该IP被学习为Psiphon3的特征已经有一段时间,测试时段未及时同步的可能性不高
按11月30日拨测情况,IGW站点仍然存在会话日志丢失or查询不出来的情况,但是PE和IGW同时丢日志仍然属于极小概率事件
liuxueli commented on 2023-03-11T14:58:53.916+0800:
- 在京版环境复现CDN IP未被正常阻断,未阻断存在两个原因: ** 域名白名单机制 ** 端口179(BGP)的流量在交换版bypass,未回流到计算版
- 本BUG的原因属于第二种,5.157.60.60的链接目的port=179,所以未产生效果。
- 现场已将port=179的流量回流到计算版
Attachments
Attachment: app_label.drawio.png
Attachment: OAP-PE-T9K001-NPB03+(3).html
Attachment: Psiphon3_2.pcap