Re: Problém s NFS

Thu, 14 Jul 2016 01:56:10 -0700 

On 14.7.2016 6:09, Milan Cizek wrote:

tak jsem na to přišel, využil jsem utilitu rpcinfo [ip] a postupně sledoval 
port 111, kame až mi to dojde.


Nekdy je pro zakladni orientaci rychlejsi pouzit


traceroute -e -P TCP -p 111 <target>



Mimochodem, musim dodatecne hrube nesouhlasit s autorem vyroku "A RPC je 
vzdycky UDP, i kdyz samotne NFS pak uz je (na vyzadani) TCP.", ktery 
jsem tu pronesl ja sam 16. kvetna



Treba zrovna rpcinfo pouziva defaultne TCP. Netusil jsem, ze se TCP 
realne pouziva. Jsme si skoro jisty, ze kdysi davno to tak nebyvalo ...


Uz vsechny ty novinky nejak nestiham sledovat ;-)



Pak jsem pokusem omylem přišel na to, že traffic požírá switch TP-LINK, a to konkrétně 
zapnutá funkce "DoS Defend".
Po vypnutí této funkce NFS začalo šlapat.

Defend Config: Enable
Ping Limiting:  512Kbps
SYN Limiting:  512Kbps



Defend Table
Select Defend Type Attack Count
  SYN sPort less 1024 868616
  SYN/SYN-ACK Flooding 7439229



Máte někdo nějakou teorii, proč je tato funkce problém? Díky!



Trochu odvazny, ptat se ve FreeBSD konferenci na to proc/jak se chova 
Linux v tvym TP-Linku (a jeste ani nerict jakej TP-LINK to tam mas, 
takze i kdyby tu nahodou nejakej expert byl, pomoct nemuze) ;-)


Rozhodne me v dokumentaci od TP-LINKu zaujal tenhle popis:

 --------------------------

SYN sPort less 1024:
The attacker sends the illegal packet with its TCP SYN field set to 1 and 
source port less than 1024.

 --------------------------


Nevedel jsem, ze navazovat TCP spojeni z "nizkych cisel portu" je 
ilegalni. A zrovna rpcinfo to, zrejme, nevi taky, protoze to navazuje 
odchozi spojeni prave takhle.


Jestli i ostatni limity pojal TP-LINK podobne kreativne ...


Ale dost TP-LINKu tady. Muzu ti nabidnout asi jedinou pomoc - pokud jsi 
schopen dodat simultanni dump paketu na port 111 "pred TP-LINKem" a "za 
TP-LINKem", ze ktereho bude videt jak nektere pokusy o navazani spojeni 
neprochazeji, pak s timhle se ja uz dokazu optat ceskeho zastoupeni 
TP-LINKu (aniz bych se musel dohadovat s first-level supportem).


Ale to uz nebudeme resit tady v konferenci.

Dan



--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l






















					Odpovedet emailem