Connection Tracking UDP
Version vom 8. November 2022, 21:08 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „=UDP= {{#drawio:connection-tracking-2}} ==Eintrag== *UDP wird auch als verbindungsloses (zustandsloses) Protokoll bezeichnet, da im Header keine Sequenznummern…“)
UDP
![Bearbeiten](javascript:editDrawio("452140654", "connection-tracking-2.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
Eintrag
- UDP wird auch als verbindungsloses (zustandsloses) Protokoll bezeichnet, da im Header keine Sequenznummern oder Ähnliches zu finden sind.
- Das bedeutet aber nicht, dass man UDP-Verbindungen nicht aufspüren und verfolgen kann.
- Es gibt immer noch andere nützliche Informationen, welche das genau sind, zeigt der folgende Eintrag in der Statustabelle:
udp 17 22 src=10.82.227.12 dst=10.81.0.2 sport=44995 dport=53 src=10.81.0.2 dst=10.82.227.12 sport=53 dport=44995 mark=0 use=1
- Protocol = udp (IP Protokollnummer ist 17)
- Der Eintrag läuft nach 22 Sekunden ab, und ist danach nicht mehr gültig.
- Quell und Zieladressen mit entsprechenden Ports der Anfrage
- Quell und Zieladressen mit entsprechenden Ports der erwarteten Antwort
- Eine einzelne UDP-Anforderung wird normalerweise 30 Sekunden in der Tabelle vorgehalten
- Hier sind es noch 22 Sekunden.
Wir funktioniert es?
- UDP ist ein verbindungsloses Protokoll
- Es hat somit keinen konkreten Anfang und kein Ende
- Das Tracking funktioniert über die Zeit
- Die Dauer wie lange eine Verbindung ohne Antwortpaket als ESTABLISHED angesehen wird, kann man hier einsehen und einstellen
- sysctl net.netfilter.nf_conntrack_udp_timeout
net.netfilter.nf_conntrack_udp_timeout = 30