用逆向方法:排除一例 NFS (网络文件系统)罕见故障

最新推荐文章于 2023-10-26 09:45:04 发布
最新推荐文章于 2023-10-26 09:45:04 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: OS/Network 文章标签: linux NFS RFC1831 HP-UX LANG
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cg_i/article/details/122058938
版权

用逆向方法:排除一例 NFS (网络文件系统)罕见故障

 作者:高玉涵
 时间:2021.12.20 09:47
 博客:blog.csdn.net/cg_i
 环境:
 1 号机: HP-UX B.11.31 U ia64
 2 号机:Linux 4.19.90-24.4.v2101.ky10.x86_64

前言

 手头项目需要 HP-UX 和 LINUX 系统,远程访问同一存储。系统部同事给出的办法是,使用 Sun 的网络文件系统(NFS)协议。NFS 协议被设计为适合于不同的机器、操作系统、网络体系和传输协议。此协议的实现已存在于上述系统上(NFSv3),且允许把远程目录链接到本地文件系统进行透明的远程访问(客户端访问该共享与访问本地文件系统没有任何差别)。
在这里插入图片描述

(图 1)

NFS 卡住了

症状描述:HP-UX 能正常挂载、卸载共享。挂载共享后,能进入目录(CD)、创建目录(MKDIR)、创建文件(TOUCH 1.txt)、写入文件(ECHO “2” >> 1.txt)、删除文件或目录(RM)。但,诡异的是浏览(LS)文件或目录时,命令会被无限挂起,只能用 CTRL+C 强行中断。而 LINUX 系统下访问共享一切正常。

 这究竟是什么原因导致的呢?其实我也是 HP-UX 菜鸟,虽然尝试过全网搜索 “nfs hang” 等关键词,但是没找到相关信息。走投无路之下,就只能硬肯 RFC 文档,通过 tcpdump 抓包,并用 WireShark 分析每一个网络包。

tcpdump 抓包

 从图 2 中 info 一栏可以看到 WireShark 已经提供了详细的解析。不过这里我翻译成更直白的对话。

  • mount -F nfs 192.168.0.200:/hxxt /nasdata(挂载共享目录)

在这里插入图片描述

(图 2)

包号 1 和 2(见图 2)

客户端:我想连接你的 NFS 进程,应该用哪个端口啊?

服务端:我的 NFS 端口是 2050

包号 3 和 4(见图 2)

客户端:那我试一下 NFS 进程能否连上。

服务端:收到了,能连上。

包号 7 和 8(见图 2)

客户端:我想连接你的 MOUNT 服务,应该用哪个端口啊?

服务端:我的 MOUNT 端口号是 2049 。

包号 11 和 13(见图 2)

客户端:那我试一下 MOUNT 进程能否连上。

服务端:收到,能连上。

包号 5 和 6(见图 2)

客户端:我要挂载 /hxxt 共享目录。

服务端:你的请求被批准了。以后请用 FileHandle:0xf2bf1c8c 来访问本目录(见图 3)。
在这里插入图片描述

(图 3)

包号 19 和 21(见图 2)

客户端:我想看看这个文件系统的属性。

服务端:给,都在这里。

 以上便是 NFS 挂载的全过程。可以看到 Portmap 和 MOUNT 请求都得到及时响应,说明网络通畅服务正常。即然问题出在浏览文件或目录上(LS),那就应该检查该共享的访问控制。

  • touch f.txt(root 用户创建一个新文件)

 NFS 安全机制设置较为简单,对客户端的访问、对用户权限的控制,都是通过 IP 地址来实现的,创建共享目录时,可以指定哪些 IP 允许读写、哪些 IP 只允许读,还有哪些 IP 连挂载都不允许。
在这里插入图片描述

(图 4)

在这里插入图片描述

(图 5)

包号 42 和 43:(见图 4)

客户端:我要在路径 0xcc292702 内创建一个新文件,它的名字叫 f.txt。还有我的 UID: 0 ,GID:3 (见图 5)。

服务端:收到,允许创建。

 图 5 的 Credentials 信息可知,客户端A用户创建文件时并未使用 root 这个用户名,而是用了 root 的 UID:0 来代表自己的身份(用户名与 UID 对应关系是由客户端 /ect/passwd 决定的)。也就是说 NFS 协议是用 UID 来区分用户的,当 root 通过客户端创建一个文件其 UID:0 就会被写到文件里,成为 owner 信息。

 而当客户端B上的用户查看该文件属性时,看的其实也是 UID:0 。如果客户端B上的 /etc/passwd 文件和客户端A上的不一样,或显示客户端B对应的用户名称,或只显示 UID 数值,为了防止这类问题,建议用户和 UID 的关系在每台客户端上都保持一致。

  • ls -al(查看所有文件或目录)
    在这里插入图片描述
    (图 6)

 图 6 所示客户端能及时收到响应,查看响应包内容信息也正常。较为明显的是,明明我只执行了一次命令,而机器确不断重复发送、接收包,就如同进入“死循环”一样,这就不难解释在用户界面下,操作被挂起,直能通过 CTRL+C 强行中断操作了。

像福尔摩斯一样思考

 神探福尔摩斯的破案秘诀是“逆因推理”——先观察所有细节,比如鞋根上的泥疙瘩甚至烟灰;然后作出多种推理和假设;接着刨去各种不可能,最后剩下的“无论多么难以置信,肯定没错。”用 WireShark 分析网络包时也类似,我们先要在网络包中寻找各种线索,然后根据网络协议作出推理,接着刨去人为(有意或无意)掩盖的证据,才能得到最后的真想。尤其是进不了机房,找不到文档,所以一切线索只能自己在包里找,感觉就更像破案了。

 既然数据包正常。那最大嫌疑就是 LS 这个命令了。会不会是 LS 无法识别响应的数据包呢?我知道这种概率很小,但概率小不代表不会发生。LS 命令的操作和内核有关,而命令参数与返回值与字符串有关,字符串又和系统字符集有关,为了验证这种猜想,我使用 locale 命令,查询当前系统支持的所有字符集,并挑选 en_GB.utf8 设置为当前用户默认的字符集。

locale -a (查询到系统当前支持的字符集)
export LANG="en_GB.utf8"

故障排除!困扰了我数周的问题终于解决了!高兴啊!

:我查看了一下 LINUX 的机器,它默认环境是使用 zh_CN.UTF-8,我初次将 HP-UX 也设置成和它一样的但故障依旧,通过设置成 en_GB.utf8 后正常。

参考
半点闲
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[系统安全] 七.逆向分析之PE病毒原理、C++实现文件加解密及OllyDbg逆向
杨秀璋的专栏
12-26 6146
系统安全系列作者将深入研究恶意样本分析、逆向分析、攻防实战和Windows漏洞利用等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。前文介绍了条件语句和循环语句源码还原及流程控制逆向。这篇文章将分享勒索病毒,通过编写程序实现获取Windows系统目录文件,并对其进行加密和解密的过程;第二部分详细讲解了OllyDbg和在线沙箱的逆向分析过程。希望对入门的同学有帮助。
[网络安全自学篇] 五.IDA反汇编工具初识及逆向工程解密实战
杨秀璋的专栏
08-08 2万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。上一篇文章分享了实验吧CFT实战的题目,涉及WEB渗透和隐写术常见题型,包括“这是什么”、“天网管理系统”、“忘记密码”、“false”、“天下武功唯快不破”和“隐写术之水果、小苹果”;这一篇文章将详细讲解IDA Pro反汇编工具的基础用法,并简单讲解一个EXE逆向工程解密实战方法。希望对入门的博友有帮助,大神请飘过,谢谢各位看官!
解决Linux NFS umount 'device is busy' and 'df -h' hang
Ora-onway
12-09 5957
公司开发、测试、准生产数据库的备份都是nfs挂载的nas盘和备份主机的本地磁盘,最近nas的权限做了调整后,导致nfs挂载点掉了。df -h看不到挂载的nas,并且导致操作hang住。 一、'df -h' hang [root@develop119 ~]# df -h 文件系统              容量  已用 可用 已用% 挂载点 /dev/sda5
NFS/故障排除
QTM_Gitee的博客
06-26 311
NFS/故障排除
NFS hang problem when using df...
渴死的火烈鸟
07-21 194
NFS hang problem when using df...   1. 把/etc/mtab 卡住的mount point 整行移掉 同時記下死掉的process id 2. restart autofs 3. kill -9 死掉的process id
AIX下由于nfs故障导致oracle hang
cuchou5321的博客
02-18 298
因为网络调整了一下,一台数据库主机上nfs文件系无法访问(这个nfs文件系统跟oracle没有任何关系),结果导致数据库无法访问,连sqlplus都登陆不了了。 RAC集群数据库中,在10gR2的版本中,有时候会使用nf...
nfs 挂载点hang住解决办法
weixin_34202952的博客
06-07 1720
1.用命令#strace df -h(找到hang住的nas名)2.#mount –v|grep [卷名]3.#showmount –e [IP] 转载于:https://blog.51cto.com/4457553/1423257
exe文件如何还原c语言,逆向分析:如何一步步还原C代码
weixin_39595085的博客
05-19 3345
本帖最后由 shavchen 于 2019-10-22 15:44 编辑逆向实战逆向CallingConvention.exe,还原为C代码,记录过程。程序入口main函数通过Main函数识别出来程序大致框架如下:函数3为编译器自动添加的堆栈平衡检查函数void __fastcall func1(int a,int b,int c,int d,int e){}void__cdecl func2...
游戏安全逆向工程师:从入门到精通83课分享
qq_50390093的博客
05-14 2347
游戏安全逆向工程师—01.简单的介绍一下DLL是怎样的一种存在 游戏安全逆向工程师—02.Windows.API编程速成-环境搭建 游戏安全逆向工程师—03.Windows_API是什么东西 游戏安全逆向工程师—04.C-C++调用Windows.API编程方法速成 游戏安全逆向工程师—05.C-C++调用Windows.API编程方法补充:GetLastError返回值 游戏安全逆向工程师—06.易语言调用Windows.API编程方法速成 游戏安全逆向工程师—07.C-C++编写DLL速成, 游戏安全逆
基于Python的逆向工程:ELF文件
python学习者的博客
04-01 6676
当解决复杂的逆向问题时,我们常使用radare2或IDA等成熟工具进行反汇编和调试。但有时也需要深入挖掘并了解它们是如何运作的。 编写一些反汇编脚本对于自动化某些流程非常有用,并且可以形成自己的逆向工具链。至少,这是我现在正在尝试的事情。 配置环境 如标题所说的那样,你需要先安装Python 3。如果你无法确定是否安装了Python 3,可以运行如下命令: 其中capstone是...
DM8介绍及麒麟系统安装
07-20
Dm8 数据库分为四个版本:开发版,标准版,企业版,安全版 开发版:不能作为商用,1 年时间(产品发布时间)有效 标准版:满足中小企业使用,不支持集群(数据守护集群、DSC 集群、读写分离集群、MPP 集群)的特性 企业版:支持集群的特性,满足中大型企业的使用,生产环境中用到最多的版本 安全版:在企业版基础上,安全性有进一步的增强,强访问控制等。
关于nfs4.1客户端负载超高,挂载hang住的问题排查
xsqm123的博客
03-24 2706
4、nfs4.1版本中新增了session分配clientid的特性,但是对于服务端还是4版本的,可能不支持该特性,导致有多台4.1客户端连接的时候,产生数据读写的冲突,也引发了在客户端服务器上,对挂载数据的读写使得系统负载很高的问题。新客户端服务器的是vers=4.1,nfs-utils版本1.3.0-0.68,新服务器部署的centos7.9,与原服务器版本不一致。3、怀疑是新增服务器的NFS挂载请求的问题,检查客户端nfsstat -m和服务端nfsstat -s。且其中的IP为新增两台服务器。
NFS服务
weixin_30245867的博客
05-11 131
NFS服务: NFS,是Network File System的简写,即网络文件系统网络文件系统是FreeBSD支持的文件系统中的一种,也被称为NFSNFS允许一个系统在网络上与他人共享目录和文件。 模式: C/S 模式 端口: NFS是Net File System的简写,即网络文件系统.NFS通常运行于2049端口。 部署NFS 由于在使用NFS服务进行文件共享...
centos nfs配置及df -h卡死的问题
u010603691的专栏
05-11 1411
1.centos安装 nfs yum install -y rpcbind nfs-utils 2.创建共享目录 mkdir /data/ums/nfs 3.配置/etc/exports文件 echo "/data/ums/nfs 192.168.44.24(rw,sync,no_root_squash)" >> /etc/exports 4.配置主机访问权限 /etc/hosts.allow mountd:192.168.44.28 rpcbind:192...
NFS搭建部署
weixin_42986493的博客
12-18 224
https://www.lanbu.net/d/146 NFS 是Network File System的缩写,中文意思是网络文件系统。它的主要功能是通过网络(一般是局域网)让不同的主机系统之间可以共享文件或目录。NFS客户端(一般为应用服务器,例如web)可以通过挂载(mount)的方式将NFS服务器端共享的数据目录挂载NFS客户端本地系统中(就是某一个挂载点下)。从客户端本地看,NFS服务器端共享的目录就好像是客户端自己的磁盘分区或者目录一样,而实际上却是远端的NFS服务器的目录。 服务器 用NF
达梦数据库操作记录
qq_28081589的博客
06-24 2018
`[root@KylinDCA03 opt]# cat /proc/version 2 / 108 Linux version 4.19.90-24.4.v2101.ky10.x86_64 (KYLINSOFT@localhost.localdomain) (gcc version 7.3.0 (GCC)) #1 SMP Mon May 24 12:14:55 CST 2021 [root@KylinDCA03 opt]# uname -r 4.19.90-24.4.v2101.ky10.x86_64根据
银河麒麟v10x86或者arm离线安装服务
最新发布
lgbisha的博客
10-26 6378
然后还有gperftools-libs也找到下载下来。
tcpdump抓包
热门推荐
mayue_web的博客
10-31 2万+
1、简介 Tcpdump是linux环境下的报文抓包工具。支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 Windows下一般使用wireshark进行报文抓取和报文分析。Linux下一般可以使用tcpdump+(tcptrace或wireshark)。 2、tcpdump下载和安装 https://www.cnblogs.com/cip...
初学达梦数据库
ligh__t的博客
05-06 962
初学达梦数据库
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值