關(guān)于網(wǎng)絡(luò)壞包對(duì)linux防火墻的影響

liyanux

近來在防火墻日志中發(fā)現(xiàn)大量壞包，如下：

1. 
   
2. Sep 26 10:25:41 fw1 kernel: MALFORMED PACKED FOUND: IN=eth4 OUT= MAC=00:d0:68:0b:b9:bb:00:e0:fc:5a:f3:18:08:00 SRC=219.129.21.100 DST=59.46.32.60 LEN=44 TOS=0x00 PREC=0x00 TTL=50 ID=30064 DF PROTO=TCP SPT=7000 DPT=42274 WINDOW=0 RES=0x04 ACK SYN URGP=0
   
3. Sep 26 10:25:44 fw1 kernel: ipt_unclean: TCP reserved bits not zero
   

復(fù)制代碼

經(jīng)過分析發(fā)現(xiàn)，壞包主要是從外網(wǎng)發(fā)過來的，目的是防火墻本身或者其他主機(jī)，根據(jù)觀察，防火墻過一段時(shí)間會(huì)死機(jī)（時(shí)間不固定，1周或者2，3天時(shí)間），重啟后會(huì)正常工作一段時(shí)間，過段時(shí)間會(huì)重復(fù)同樣的問題。防火墻已經(jīng)調(diào)用ipt_unclean模塊在filter表的input鏈中和nat表的prerouting鏈中將數(shù)據(jù)包drop掉，用iptables －vnL看到了數(shù)據(jù)包的匹配，但依然出現(xiàn)同樣的問題，請(qǐng)教各位，這種情況有沒有遇到過，有沒有好的解決辦法，謝謝。

[ 本帖最后由 liyanux 于 2006-9-28 16:15 編輯 ]

depthblue_xsc

把ifconfig 的結(jié)果貼上來
另外抓包看一下，是什么樣的壞包

liyanux

ifconfig輸出：

1. 
   
2.           RX packets:12325763 errors:0 dropped:0 overruns:0 frame:0
   
3.           TX packets:12119385 errors:0 dropped:0 overruns:0 carrier:0
   
4.           collisions:0 txqueuelen:1000
   
5.           RX bytes:3006191302 (2866.9 Mb)  TX bytes:1879338573 (1792.2 Mb)
   
6.           Base address:0xac00 Memory:fc9e0000-fca00000
   

復(fù)制代碼

從日志分析看主要是mac地址（00:d0:68:0b:b9:bb:00:e0:fc:5a:f3:18:08:00）異常和ipt_unclean: TCP reserved bits not zero。另外昨天我用sniffer模擬發(fā)包，將源端口改為0時(shí)，同樣出現(xiàn)mac地址異常的情況，請(qǐng)問各位有沒有遇到過這種情況。

liyanux

看了下ipt_log.c,里面有這么一段：

1. 
   
2.         if (in && !out) {
   
3.                 /* MAC logging for input chain only. */
   
4.                 printk("MAC=");
   
5.                 if ((*pskb)->dev && (*pskb)->dev->hard_header_len && (*pskb)->mac.raw != (void*)iph) {
   
6.                         int i;
   
7.                         unsigned char *p = (*pskb)->mac.raw;
   
8.                         for (i = 0; i < (*pskb)->dev->hard_header_len; i++,p++)
   
9.                                 printk("%02x%c", *p,
   
10.                                        i==(*pskb)->dev->hard_header_len - 1
    
11.                                        ? ' ':':');
    
12.                 } else
    
13.                         printk(" ");
    
14.         }
    

復(fù)制代碼

根據(jù)測(cè)試的情況，包是發(fā)往本機(jī)的，沒有outdev，所以會(huì)觸發(fā)mac地址的輸出判斷，因而會(huì)有以上的輸出。而產(chǎn)生日志的原因是ipt_unclean模塊判斷tcp的reserved bits不為0。我想問的是這種壞包對(duì)linux防火墻.tcp/ip的協(xié)議棧的影響有多大，在一定程度是否引起系統(tǒng)down機(jī)。