NAT网关自动去掉TCP syn包的时间戳

最新推荐文章于 2024-08-20 15:55:40 发布
最新推荐文章于 2024-08-20 15:55:40 发布
阅读量655 收藏
点赞数
文章标签: 网络
猛士设计了Netfilter,在失眠的时候就有事做了,安息日应守为圣日,否则会激怒神,因此双休日我一般不学习和工作,相反,我会在午夜玩一些自己喜欢的东西。我没有受过洗,不是因为不是笃信者,没有安息夜...

NAT和timestamps问题

这个问题就不多说了,总之,NAT设备将所有数据包的大量不同的源地址都转换为了单一的或者少数几个地址,这个转换动作和TCP服务器的PAWS机制一起工作的时候会导致无法新建连接的问题。

解决办法

简单的讲,解决办法有两个,一个是在客户端禁掉TCP的时间戳机制,另一个是在TCP服务端禁掉TCP的时间戳机制,可是一般而言,这两个地方都不是我们所能控制的,比如,你能禁掉每一个智能手机的TCP时间戳,也不能指望手机用户去做这件事,你同样也不能指望可以顺利地禁掉服务器的TCP时间戳,于是,第三个办法就出炉了,那就是在中间的NAT设备上修改掉TCP数据包,实际上只要修改TCP初始化的SYN包即可,将时间戳选项去掉,只所有这么做是可行的,归功于TCP协议和IP协议的协议头是规则且简单的。

关于TCP协议头的options与NOP

任何协议,如果没有被设计成可扩展性的,那它就不是一个好的协议。一个好的协议,在其基础部分应该取定长的格式,而其扩展的部分,应该是一定范围内的变长格式,不管是IP协议还是TCP协议,协议头都有一个“头长度”这么一个字段,该字段正是为了表示所谓的扩展协议头,否则如果都是定长的,也就不需要该字段了,因此可以说,IP协议和TCP协议都是比较好的协议。

识别了协议好坏的标准之后,扩展字段如何布局就纯粹成了一个编码问题,一般而言,“类型-长度-值”的方式是首选,它可以很方便的编码任意类型,任意长度的扩展字段,在TCP的协议头扩展中,其名称叫做options,即TCP选项,它便是采用了上述的编码方式,每一个选项我可以称之为一个“块”,整个TCP options由多个块组成,每一个块由下面的结构组成:



注意,有一种TCP选项叫做NOP,它是为了确保TCP协议头结束在4字节对齐的位置,我们可以从RFC793的3.1节看出:
Padding: variable
The TCP header padding is used to ensure that the TCP header ends
and data begins on a 32 bit boundary. The padding is composed of
zeros.
在本文中,我心爱的NOP并不是为了填充的,而是为了用其替换时间戳选项。我不知道别的系统怎么处理NOP,反正在Linux中,是直接忽略NOP,而这种忽略正是提供了一种将时间戳选项替换为NOP的可能性。

代码与解释

Netfilter原则上可以将所有的数据包“偷走”,从标准协议栈偷走,这么极端的事它都可以做,还有什么不能做的呢?和往常一样,还是写一个iptables的module,包括两个组件,一个是内核模块,另一个是iptables的用户态模块。我依然将取名字这件事搁置,因此我的这个target姑且确定为YYY,内核模块代码如下: 
/*
 *      xt_yyy - kernel module to drop TCP timestamps
 *
 *      Original author: Wanagran <marywangran@126.com>
 */

#include <linux/module.h>
#include <linux/netfilter/x_tables.h>
#include <linux/netfilter.h>
#include <linux/skbuff.h>
#include <linux/tcp.h>
#include <net/tcp.h>
#include <linux/ip.h>
#include "compat_xtables.h"


MODULE_AUTHOR("Wanagran <marywangran@126.com>");
MODULE_DESCRIPTION("Xtables: yyy match module");
MODULE_LICENSE("GPL");
MODULE_ALIAS("ipt_yyy");


static unsigned int
yyy_tg4(struct sk_buff **skb, const struct xt_action_param *par)
{
        const struct iphdr *iph = (struct iphdr *)((*skb)->data);
        struct tcphdr *hdr;
        unsigned int hdroff = iph->ihl*4;
        int datalen = (*skb)->len - hdroff;
        int hdrsize = 8; /* TCP connection tracking guarantees this much */
        const unsigned char *ptr;
        unsigned char buff[(15 * 4) - sizeof(struct tcphdr)];
        int length;
        int recalc = 0;

        if (iph->protocol != IPPROTO_TCP) {
                return XT_CONTINUE;
        }

        hdr = (struct tcphdr *)((*skb)->data + hdroff);

        /**
         *      以下这个判断不适合在代码中写死,因为:
         *      iptables完全可以用TCP的flags match来完成这个判断
         *
         *      if (!hdr->syn) {
         *              return XT_CONTINUE;
         *      }
         *
         *      另外,很多人应该觉得检查一下conntrack是否已经加载,如果没有加载就
         *      直接CONTINUE,但是我没有这么做,因为NAT的实现并不一定要基于conntrack
         */

        if ((*skb)->len >= hdroff + sizeof(struct tcphdr))
                hdrsize = sizeof(struct tcphdr);

        if (!skb_make_writable(skb, hdroff + hdrsize))
                return XT_CONTINUE;

        length = (hdr->doff*4) - sizeof(struct tcphdr);
        ptr = skb_header_pointer(*skb, sizeof(struct tcphdr) + hdroff,
                                 length, buff);
        while (length > 0) {
                int opcode=*ptr++;
                int opsize;
                switch (opcode) {
                        case TCPOPT_EOL:
                                returni XT_CONTINUE;
                        case TCPOPT_NOP:        /* Ref: RFC 793 section 3.1 */
                                length--;
                                continue;
                        case TCPOPT_TIMESTAMP:
                        {
                                int i = 0;
                                char *base = ptr-1;
                                opsize=*ptr;

                                /**
                                 *      为了减少数据移动以及指针移动,进而减少内存拷贝
                                 *      我只是将时间戳替换成了NOP而已
                                 */
                                for (; i < opsize; i++, base++) {
                                        *base = 0x01;
                                }
                                recalc = 1;
                        }
                        default:
                                opsize=*ptr++;
                                length -= opsize;
                                ptr += opsize - 2;
                }
        }

        /**
         *      改变了TCP头后,重新计算校验码是必然的,但是以下的
         *      代码太粗糙,因为它没有考虑硬件也有能力计算校验码
         *      这么一件事!
         */
        if (recalc) {
                hdr->check = 0;
                hdr->check = tcp_v4_check(datalen,
                                        iph->saddr, iph->daddr,
                                        csum_partial(hdr,
                                                datalen, 0));
        }

        return XT_CONTINUE;
}

static struct xt_target yyy_tg_reg[] __read_mostly = {
        {
                .name           = "YYY",
                .revision       = 1,
                .family         = NFPROTO_IPV4,
                .target         = yyy_tg4,
                .me             = THIS_MODULE,
        },
};
static int __init xt_yyy_target_init(void)
{
        int status = 0;
        status = xt_register_targets(yyy_tg_reg, ARRAY_SIZE(yyy_tg_reg));
        if (status < 0) {
                printk("YYY: register target error\n");
                goto err;
        }

err:
        return status;
}

static void __exit xt_yyy_target_exit(void)
{
        return xt_unregister_targets(yyy_tg_reg, ARRAY_SIZE(yyy_tg_reg));
}

module_init(xt_yyy_target_init);
module_exit(xt_yyy_target_exit);


该有的解释都在注释里面了。用户态的模块就不贴出了了,例行公事而已,没有任何逻辑,毕竟目前的版本YYY target不需要任何参数。

YYY模块的使用

只需要简单地在NAT网关添加一个iptables规则:
iptables -A FORWARD -p tcp -......-j YYY
接下来的时间里,你将不会再面对NAT设备的TCP timestamps的问题了。值得注意的是,由于TCP服务端仅仅针对新建连接来做检查,因此可以不必对非SYN包来做YYY target,我自己在测试的时候,抓包结果如下:

新建连接的SYN包:




ESTABLISHED状态的非SYN包:



感悟

对于一个在IT领域从业5年以上的人而言,任何问题靠技术手段解决都不是个事,关键是如何彻底地解决,相比于每次重复相同的排障过程,一次性解决会好很多,当然,这也许会减少一些出头露面的机会。这个timestamps+NAT问题是如此简单,以至于百行量级的代码就能搞定,但是为何加入这项功能的设备却如此之少,反之,网上的这方面的文章却是汗牛充栋(当然我也贡献过几篇)。难道是因为有些服务器确实要用到timestamps吗?而正常的理由就是,不能改变TCP的语义!我想骂了,NAT保留IP的语义了吗?它为何后来成了标准的东西,原始的IP语义是希望任意IP主机可以仅依靠IP路由双向互联互通,结果有了状态NAT以后,事情复杂了,于是更加复杂的各种打洞技术被呼唤出来,几年前我曾经遇到过一个人,自诩他实现的打洞技术世界第一,我C-T-M-D,他就是一小丑!
iteye_3759
关注
Linux服务器收到SYN请求没有回应ACK导致客户端无法建立TCP连接
dvlinker的技术专栏
05-18 2万+
问题描述: 最近测试同事反馈一个很奇怪的问题,电子白板客户端加入白板会议后,经常出现下载同步文件失败的问题。下载同步文件使用的是https请求,经抓得知,在试图建立TCP连接时,客户端发送三次握手申请的SYN,但是服务器没有回应ACK,然后客户端触发了TCP的丢重转,重发SYN,但服务器始终没回ACK,导致无法完成建立TCP连接,所以无法下载同步文件。SYN从本端网卡发出...
TCP面试:SYN报文在什么情况下会被丢弃
weixin_44768052的博客
09-09 330
之前说过,开启了 recycle 和 timestamps 选项,就会开启一种叫 per-host 的 PAWS 机制。
mysql timestamp 函数_MySQL 时间戳(Timestamp)函数
weixin_34430580的博客
01-19 226
1. MySQL 获得当前时间戳函数:current_timestamp, current_timestamp()mysql> select current_timestamp, current_timestamp();+---------------------+---------------------+| current_timestamp | current_timestamp() ...
NAT环境下tcp_timestamps问题
〓☆〓 清风徐来918 (QQ:89617663)
10-18 3478
tcp_tw_recycle参数用来快速回收TIME_WAIT连接,不过如果在NAT环境下会引发问题。 RFC1323中有如下一段描述: An additional mechanism could be added to the TCP, a per-hostcache of the last timestamp received from any connection.Thi
在netfilter中ACCEPT、DROP、CONTINUE 和 RETURN 对应的值
最新发布
alittlefish1的博客
08-20 276
在 Linux 内核的 Netfilter 框架中,ACCEPTDROPCONTINUE、和RETURN对应的值是通过一组常量定义的。这些常量用于表示不同的处理动作。
解决访问客户端位nat模式服务端syn握手失败的问题
小胡子
03-30 1071
解决访问客户端位nat模式服务端syn握手失败的问题
Linux同时开启tcp_tw_recycle和tcp_timestamps导致TCP syn有时不响应故障排查
yscisco的博客
11-22 1850
问题描述 前几天,同事反馈从公司连接线上一台服务器有时候会失败,经过抓发现,TCP握手过程失败。查了相关资料,发现是跟net.ipv4.tcp_tw_recycle和net.ipv4.tcp_timestamps两个参数有关,将net.ipv4.tcp_tw_recycle改为0,问题解决。 排查过程 在PC上通过wireshark抓发现,失败的时候,TCP syn是一直在重传的。在server端通过tcpdump抓发现,PC侧发的syn是已经到达,所以基本排除网络问题。tcpdump抓中确实看
NAT环境下,内网用户使用公网地址访问内网服务器
热门推荐
phoenix1415的博客
02-24 1万+
一、原理分析(cisco路由器) 1、传统NAT 内网用户、服务器上外网和外网用户访问内网的服务器均正常。 NAT设备,改变了syn的目的地址,但是没有改变syn的源地址,导致服务器的syn ack直接给了client,从而导致三次握手失败。 2、传统NAT+PBR(借鉴NAT-on-stick) ...
客户端第二次连接失败,SYN发了,没有收到服务端回 SYN+ACK ,SYN被丢弃了
thehunters的专栏
12-30 3421
一、问题 最近测试一个音视频项目,APP在第一次流程中,所有信令都走完了,然后断掉连接,清理现场后。第二次重新连接服务,进行第二次业务的时候缺失败了。 测试1: 使用WEB测试,在不同分公司电脑打开是可以连接服务器的,成功。 测试2: 在本地局域网打开APP,然后打开web连接测试,失败。 测试3: 在本地局域网打开APP,然后手机使用wifi打开web连接测试,失败。 测试4: 在本地局域网打开APP,然后手机使用4G网络打开web连接测试,成功。 测试5: 在别的服务器机器,正常
公网服务器或客户端为 NAT 网络的服务器不要同时开启 tcp_tw_recycle 和 tcp_timestamps
一介码农
06-05 1985
背景及现象服务器:公网服务器 客户端:外网手游客户端 玩家侧现象:大批处于同一局域网内的内侧玩家连接服务器超时,但是切换成 4G 之后连接顺畅。 服务端现象:netstat -s" 显示 “passive connections rejected because of time stamp” 数量增长快速,关闭 tcp_tw_recycle 或 tcp_timestamps 恢复正常,玩家侧现
linux系统收到SYN但不回SYN+ACK问题排查
weixin_34309435的博客
08-08 3221
一,背景:今天下午发现线上的一台机器从办公网登录不上且所有tcp端口都telnet不通,但是通过同机房的其它机器却可以正常访问到出问题的机器。于是就立即在这台出问题的server端抓分析,发现问题如下:server端收到了本地pc发的SYN,但是没有回syn+ack,所以确认是server端系统问题。tcpdump抓如下:二,排查1,发现系统没有任何负载2,网卡也没有...
TCP之timestamps选项
redwingz的博客
03-20 1万+
默认情况下内核是开启timestamps选项的,如下tcp_sk_init函数中对sysctl_tcp_timestamps的初始化。 static int __net_init tcp_sk_init(struct net *net) { net->ipv4.sysctl_tcp_timestamps = 1; 也可通过PROC文件tcp_timestamps控制选项行为,tcp...
分析LVS-NAT中出现的SYN_RECV
weixin_30347009的博客
05-22 1180
CIP:192.168.10.193 VIP:192.168.10.152:8000 DIP:100.10.8.152:8000 RIP:100.10.8.101:8000 和100.10.8.102:8000 从CIP到RIP的TCP连接,总是超时。 在Director上看到,lvs已经把来着client的消息转发,但状态是SYN_RECV =================...
TCP常见问题
peng_shakalaka的博客
11-27 2317
所以如果客户端已使用端口 64992 与服务端 A 建立了连接,那么客户端要与服务端 B 建立连接,还是可以使用端口 64992 的,因为内核是通过四元祖信息来定位一个 TCP 连接的,并不会因为客户端的端口号相同,而导致连接冲突的问题。的工具,就是基于上面这样的方式实现的,它会主动发送 SYN 获取 SEQ/ACK 号,然后利用 SEQ/ACK 号伪造两个 RST 报文分别发给客户端和服务端,这样双方的 TCP 连接都会被释放,这种方式活跃和非活跃的 TCP 连接都可以杀掉。
Linux NAT优化的校验和问题
互联网
05-18 389
我们知道,Linux的NAT是基于ip_conntrack的有状态NAT,其配置类似BSD的keep state的效果!如果看一下Netfilter的PREROUTING,就知道ip_conntrack依赖ip_defrag,也就是凡是分片的IP片必须重组后才可以进入ip_conntrack进而进入NAT,如果我们希望能针对每一个IP分片来做NAT的话,那就需要动一番脑筋了。 下图是一个优化逻辑,...
TCP穿透NATTCP打洞)的实现
kongxian2007的专栏
11-08 1057
首先先介绍一些基本概念:     NAT(Network Address Translators),网络地址转换:网络地址转换是在IP地址日益缺乏的情况下产生的,它的主要目的就是为了能够地址重用。NAT分为两大类,基本 的NAT和NAPT(Network Address/Port Translator)。     最开始NAT是运行在路由器上的一个功能模块。          最先提出的是...
IPVS的NAT转发模式下对TCP序号的修正
redwingz的博客
08-20 628
由于在NAT转发模式下,ipvs的app模块对报文的修改,有可能改变数据的长度,对于TCP来说,就需要动态的调整TCP头部的序号和确认序号的数值。 输入处理 ipvs的应用app模块中函数app_tcp_pkt_in用于处理输入方向的数据流。这里使用两个标志IP_VS_CONN_F_IN_SEQ和IP_VS_CONN_F_OUT_SEQ分别表示是否要修正报文的序号和确认序号。 注意这两个标志的判...
tcp_tw_recycle和tcp_timestamps导致不响应syn,ack的故障
weixin_33819479的博客
04-15 303
故障场景:几台通过NAT访问一台服务器,服务器上开启了tcp_tw_recycle用于TIME_WAIT的快速回收故障现象和分析步骤:1) 通过NAT出口的客户端经常请求Web服务器无响应,telnet服务器端口不通,但是可以ping通。同一机房,有独立IP地址的服务器不存在这样的问题;2) 在服务器抓,发现服务端可以收到客户端的SYN请求,但是没有回应SYN,ACK,也就...
利用NAT实现TCP负载均衡的配置步骤和示例
Galdys的专栏
07-12 3209
1.1 利用NAT实现TCP负载均衡的配置步骤和示例 利用NAT实现TCP负载均衡的基本配置思路如下: (1)利用"ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length} type rotary"全局配置命令创建一个动态NAT地址池。但一要定有"type rotary"关键字,表示循环使用
基于HASH表与SYN计算的TCP重组技术详解
本文档探讨了一种创新的TCP重组方法,该方法主要利用HASH表和SYN计算来解决网络安全领域中的关键问题,特别是在会话重组方面。会话重组对于入侵检测系统、病毒监控系统和远程监控系统等产品至关重要,因为它能确保...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值