【博客622】利用Linux bridge泛洪做流量审计与分析

最新推荐文章于 2025-01-09 20:03:11 发布
最新推荐文章于 2025-01-09 20:03:11 发布
阅读量634 收藏
点赞数
分类专栏: 计算机网络 linux k8s 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43684922/article/details/129098953
版权

利用Linux bridge泛洪做流量审计与分析

1、Linux bridge泛洪

在 Linux 中,bridge 是虚拟的二层网络设备。不同于 eth 或 ens 等真实的网络设备,bridge 能够让同一 Linux 系统内的其他网络设备连接起来;比如 docker 默认的网络模型就是利用 bridge 将各个实例的网络打通,如图:
在这里插入图片描述

2、强制泛洪

在 brctl 的 manual 中有一段描述:

brctl setageing <brname> <time> sets the ethernet (MAC) address
 ageing time, in seconds. After <time> seconds of not having seen
a frame coming from a certain address, the bridge will time out
(delete) that address from the Forwarding DataBase (fdb).

bridge 会维持一张 mac 地址表,叫 fdb。Linux 内核会为该 bridge 维持一个 gc 定时器,该定时器会定时去清理失效的 fdb 记录;该定时器默认的间隔为 300s;可以通过命令 brctl showstp docker0 看到:

brctl showstp docker0
docker0
 bridge id		8000.0242d4005155
 designated root	8000.0242d4005155
 ...
 ageing time		 300.00
 ...

veth4f17ef9 (1)
 ...

当这个 ageing time 设置为 0,会发生什么呢?
答案:强制泛洪效果

当一个网络包经过 bridge 而 bridge 在其 fdb 中找不到对应记录,即 bridge 不确定该网络包该通过那个网口发出去时,bridge 会将该网络包通过除收包网口外的其他所有网口发出去,俗称泛洪。 当将 ageing time 设置为 0 时, 意即 bridge 无需维持 fdb ,每当收到一个网络包,都将这个网络包泛洪出去。
在这里插入图片描述

3、利用Linux bridge泛洪做流量审计与分析

实验拓扑:
在这里插入图片描述

步骤:

# 准备 namespace client
ip netns add nsclient
ip link add vci type veth peer name vco
ip link set vci netns nsclient
ip netns exec nsclient bash -c "
ip link set dev vci up
ip addr add 10.0.0.2/24 dev vci
ip route add default via 10.0.0.1 dev vci
"

# 准备 namespace server
ip netns add nsserver
ip link add vsi type veth peer name vso
ip link set vsi netns nsserver
ip netns exec nsserver bash -c "
ip link set dev vsi up
ip addr add 10.0.0.1/24 dev vsi
ip route add default via 10.0.0.2 dev vsi
"

# 准备 namespace pcap,用于抓包
ip netns add nspcap
ip link add vpi type veth peer name vpo
ip link set vpi netns nspcap
ip netns exec nspcap bash -c "
ip link set dev vpi up
"

# 准备 bridge br0
# brctl 管理,需要安装 bridge-utils
brctl addbr br0
brctl addif br0 vco
brctl addif br0 vso
brctl addif br0 vpo
ip link set dev vco up
ip link set dev vso up
ip link set dev vpo up
ip link set dev br0 up
# brctl setageing br0 0 # 强制泛洪,稍后再开启

注意: 如果该环境中已经运行 docker,则需要执行命令 iptables -t filter -I FORWARD -i br0 -o br0 -j ACCEPT ,使得 br0 的流量不受 docker 的影响。

实验操作:

开启几个终端窗口:namespace client, namespace server, namespace pcap, bridge br0

进入 namespace 的命令:ip netns exec ${ns name} bash
比如进入 namespace client:ip netns exec nsclient bash

未开启强制泛洪时:

在这里插入图片描述

在这里插入图片描述

开启强制泛洪时:

在 bridge br0 窗口中执行命令 brctl setageing br0 0,再次试验 ping 和 http server。

在这里插入图片描述
在这里插入图片描述

总结

在网络设备上做流量镜像时,bridge 的强制泛洪实现了网卡级别的流量镜像效果。

网络虚拟化之虚拟交换机技术Linux Bridge
技术百宝箱
07-08 2750
接上篇网络虚拟化之虚拟网卡技术veth再来看看虚拟交换机技术Linux Bridge。 几个核心点:1.veth只能成对出现,多对多就需要一个交换机2.Linux Bridge覆盖物理交换机所有功能3.Linux Bridge比物理交换机多一个转发本机IP的数据包4.单IP的单机上多个容器的通讯网络,可以NAT转换有了虚拟网卡,很自然也会联想到让网卡接入到交换机里,实现多个容器间的相互连接。Linux Bridge 便是 Linux 系统下的虚拟化交换机,虽然它以“网桥”(Bridge)而不是“交换机”(S
linux bridge - mac和vlan转发
fengcai_ke的博客
07-19 3618
linux bridge mac/vlan转发分析
linux 端口镜像软件,Linux Bridge的镜像端口实现
weixin_35172715的博客
05-09 521
很多种交换机上都可以配置镜像端口,也就是说所有的流量都要顺便发一份到镜像端口,一般都是在镜像端口上接一个主机,上面开启抓包或者审计程序,保证时刻监控网络流量。镜像端口解决了学习型交换机无法抓包的问题。Linux实现了一个软件版本的Bridge,也正是一个交换机,只是可能端口少些,通过brctl setageingtime 将time设置成0也可以使该软交换机退化成一个Hub。然而我没有在brc...
linux 网桥介绍以及如何配置
yuhengyue的博客
01-17 1969
我们需要了解的是网桥是一种工作在数据链路层的存储转发设备,用来连接局域网,基于MAC地址来进行端口转发。  比较常见的即透明网桥(transparent bridge)。 1、网桥的重要功能 1. 源地址跟踪: 网桥通过转发表来记录网桥所能见到的连接站点地址,为帧的转发提供了路径选择。  2. 帧的转发和过滤: 网桥可以对帧进行转发或者过滤 2、网桥的工作原理 如下图所
linux bridge 添加fdb,Linux协议栈--网桥设备的实现
weixin_29608475的博客
05-03 1935
网桥的概念网桥就是将桥一端的网络数据转发到桥的另一端的设备,这个转发是双向的。网桥和交换机是同一种设备。网桥工作在数据链路层上。网桥所连接的网络需要在同一网段内。网桥在Linux中的实现Linux中的网桥是一种虚拟设备。通常我们将一个或几个真实的设备(网卡)绑定到网桥设备上,网桥设备将绑定在它上面的设备视为端口port,从而统一管理所有从设备。可以为网桥配置一个IP地址,而它的MAC地址则是它管理...
linux bridge 添加fdb,bridge fdb vxlan
weixin_34170737的博客
05-03 1331
10.10.18.214节点上2: eth0@if6: mtu 1500 qdisc noqueue state UP group default qlen 1000link/ether 96:43:7c:c4:79:8e brd ff:ff:ff:ff:ff:ff link-netnsid 0inet4.4.4.3/24 scope globaleth0valid_lft forever pr...
ovs和linux bridge区别,Neutron中Linux BridgeOpen vSwitch优劣势对比
weixin_29057163的博客
05-13 1260
Neutron中Linux BridgeOpen vSwitch优劣势对比Neutron中Linux BridgeOpen vSwitch优劣势对比目前说到虚拟交换机,通常会想到使用Open vSwitch虚拟交换机,因为支持Open vSwitch的个人和企业都想要有一个开放的模式把他们的服务集成进OpenStack。 Open vSwitch社区了大量的工作,希望提升Open vSwi...
OVSLinux Bridge的区别整理
lingshengxiyou的博客
11-21 1349
通常,Linux Bridge放置在相互通信的两个独立的计算机组之间,但它其中一个计算机组的通信要多得多。OVS 旨在通过编程扩展实现有效的网络自动化,还支持标准管理接口和协议,包括 NetFlow、sFlow、CLI、IPFIX、RSPAN、LACP、802.1ag。简而言之,OVS 管理程序一起使用,以互连主机内的虚拟机和跨网络的不同主机之间的虚拟机。2. 复杂的操作:Open vSwitch 本身就是一个复杂的解决方案,它拥有如此多的功能。很难学习、安装和操作。
Libvirt — 使用 OvS 代替 Linux Bridge
烟云的计算
05-06 2046
目录 文章目录目录使用 OvS 代替 Linux Bridge 使用 OvS 代替 Linux Bridge 编辑 ovs-net XML 文件。 $ vi ovs-net.xml <network> <name>ovs-net</name> <forward mode="bridge"/> <bridge name="ovs-br0"/> <virtualport type="openvswitch"/> &lt
linux bridge 添加fdb,linux bridge处理流程
weixin_34792546的博客
05-03 1066
linux 3.18.1 Bridge 代码学习1.网桥部分的代码在linux/net/bridge/目录下网桥模块的初始化在br.c:br_init()函数中开始:a. 注册生成树协议(STP)到stp.c:stp_proto 变量中由于以后处理BPDU协议报文b. bridge转发表memcache的初始化(即二层地址表),struct net_bridge_fdb_entryc. 注册网桥对...
Linux-网桥原理分析 .
热门推荐
mrwangwang的专栏
12-23 1万+
Linux-网桥原理分析   http://biancheng.dnbcw.info/linux/244269.html   目 录 1..... 前言... 6 2       网桥的原理... 7 2.1             桥接的概念... 7 2.2             linux的桥接实现... 8 2.3             网桥的功能... 9 3
Kubernetes系列教程(二)---集群网络之Flannel核心原理
探索云原生
06-26 507
本文主要记录了 Kubernetes 集群网络方案之 Flannel 核心原理详解,包括其隧道方案中的两种:UDP 实现和 VXLAN 实现。 1. 概述 Docker 的默认配置下,不同宿主机上的容器通过 IP 地址进行互相访问是根本不到的。 为了解决这个容器跨主通信的问题,社区里才出现了那么多的容器网络方案。 Fla
云计算网络之--linux bridge 详解
老五的作坊
08-21 3132
linux bridge 是什么? 通俗的说linux bridge可以比作一个简单的二层虚拟交换机,集成在linux里面。像普通交换机一样,其他端口可以连接bridge,终端虚拟设备通过接入bridge实现互相通信和外部设备的通信。 linux bridge主要包括四个部分,这也是简单二层物理交换机的必备部分,可以说是虚拟了物理交换机的基础业务。 1:网络端口(或接口)集:用于将终端交换机之间的流量转发到网络中的其他主机。 2:控制平面:用于运行生成树协议(STP),该协议计算最小生成树,以防止环路使网络
linux 双网卡桥接,实现网卡流量镜像转发
weixin_30725315的博客
04-10 1693
确认本地是否存在brctl,如果不存在请先安装;    1.确定你的镜像端口,比如eth1; 2.将实际数据通过的端口,比如eth0和镜像端口绑成一个bridge; brctl addbr br0 brctl addif br0 eth0 brctl addif br0 eth1 使用命令查看 brctl show bridge nam...
Linux网桥简介、入门配置
meihualing的专栏
04-22 9809
Linux网桥的配置使用, Linux bridge, 网桥,brctl
关于linux网桥(Linux Bridge)的一些个人记录
最新发布
wsg1100
01-09 904
作为一个工业自动化行业常游走于各种 OT 网络和 IT 网络之间的码农,linux 网桥是常使用的工具之一,每每涉及Linux 网桥, 这些记忆性的操作都要现查,零散且麻烦,所以简单整理一下,主要方便自己查询,同时分享给大家参考,希望对你有所帮助。
Linux内核bridge浅析
weixin_30613343的博客
11-17 621
Linux网桥模型:  Linux内核通过一个虚拟的网桥设备来实现桥接的,这个设备可以绑定若干个以太网接口设备,从而将它们桥接起来。如下图所示: 网桥设备br0绑定了eth0和eth1。对于网络协议栈的上层来说,只看得到br0,因为桥接是在数据链路层实现的,上层不需要关心桥接的细节。于是协议栈上层需要发送的报文被送到br0,网桥设备的处理代码再来判断报文该被转发到eth0或是et...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值