Connection Tracking
Version vom 8. November 2022, 21:07 Uhr von Thomas.will (Diskussion | Beiträge)
Erläutertung
UDP
Eintrag
- UDP wird auch als verbindungsloses (zustandsloses) Protokoll bezeichnet, da im Header keine Sequenznummern oder Ähnliches zu finden sind.
- Das bedeutet aber nicht, dass man UDP-Verbindungen nicht aufspüren und verfolgen kann.
- Es gibt immer noch andere nützliche Informationen, welche das genau sind, zeigt der folgende Eintrag in der Statustabelle:
udp 17 22 src=10.82.227.12 dst=10.81.0.2 sport=44995 dport=53 src=10.81.0.2 dst=10.82.227.12 sport=53 dport=44995 mark=0 use=1
- Protocol = udp (IP Protokollnummer ist 17)
- Der Eintrag läuft nach 22 Sekunden ab, und ist danach nicht mehr gültig.
- Quell und Zieladressen mit entsprechenden Ports der Anfrage
- Quell und Zieladressen mit entsprechenden Ports der erwarteten Antwort
- Eine einzelne UDP-Anforderung wird normalerweise 30 Sekunden in der Tabelle vorgehalten
- Hier sind es noch 22 Sekunden.
Wir funktioniert es?
- UDP ist ein verbindungsloses Protokoll
- Es hat somit keinen konkreten Anfang und kein Ende
- Das Tracking funktioniert über die Zeit
- Die Dauer wie lange eine Verbindung ohne Antwortpaket als ESTABLISHED angesehen wird, kann man hier einsehen und einstellen
- sysctl net.netfilter.nf_conntrack_udp_timeout
net.netfilter.nf_conntrack_udp_timeout = 30
TCP
![Bearbeiten](javascript:editDrawio("348620580", "connection-tracking-2.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("774841760", "connection-tracking-3.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
Eintrag
- Jede TCP-Verbindung wird mittels eines Drei-Wege-Handshake aufgebaut.
- SYN - SYN/ACK - ACK
- Neben SYN und ACK-Flags beinhaltet der TCP-Header eine 32 bit (Sequence Number) eine ACK-Nummer (Acknowledgment Number)
- Damit kann ein TCP-Paket eindeutig einer Verbindung zugewiesen werden kann.
tcp 6 431864 ESTABLISHED src=10.82.243.11 dst=44.242.3.166 sport=59466 dport=443 src=44.242.3.166 dst=10.82.242.11 sport=443 dport=59466 [ASSURED] mark=0 use=1
- Protocol = tcp (IP Protokollnummer ist 6)
- Der Eintrag läuft nach 431864 Sekunden ab, und ist danach nicht mehr gültig.
- Status der Verbindung in diesem Fall ist es ESTABLISHED
- src='10.82.243.11' dst=44.242.3.166 sport=59466 dport=443 Orginal Paket
- src=44.242.3.166 dst=10.82.242.11sport=443 dport=59466 Erwartetes paket
- Wenn das letzte des 3 Wege-Hand-Shake empfangen wurde wird die Verbinung als ASSURED markiert.
ICMP
Eintrag
icmp 1 23 src=10.82.243.11 dst=193.99.144.85 type=8 code=0 id=7042 src=193.99.144.85 dst=10.82.242.11 type=0 code=0 id=7042 mark=0 use=1