Connection Tracking UDP
Version vom 24. Juli 2024, 07:18 Uhr von Linkai.zhang (Diskussion | Beiträge) (→Wir funktioniert es?)
UDP
![Bearbeiten](javascript:editDrawio("1852693337", "connection-tracking-2.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
Eintrag
- UDP wird auch als verbindungsloses (zustandsloses) Protokoll bezeichnet, da im Header keine Sequenznummern oder Ähnliches zu finden sind.
- Das bedeutet aber nicht, dass man UDP-Verbindungen nicht aufspüren und verfolgen kann.
- Es gibt immer noch andere nützliche Informationen, welche das genau sind, zeigt der folgende Eintrag in der Statustabelle:
udp 17 22 src=10.82.227.12 dst=10.81.0.2 sport=44995 dport=53 src=10.81.0.2 dst=10.82.227.12 sport=53 dport=44995 mark=0 use=1
- Protocol = udp (IP Protokollnummer ist 17)
- Der Eintrag läuft nach 22 Sekunden ab, und ist danach nicht mehr gültig.
- Quell und Zieladressen mit entsprechenden Ports der Anfrage
- Quell und Zieladressen mit entsprechenden Ports der erwarteten Antwort
- Eine einzelne UDP-Anforderung wird normalerweise 30 Sekunden in der Tabelle vorgehalten
- Hier sind es noch 22 Sekunden.
Wir funktioniert es?
- UDP ist ein verbindungsloses Protokoll
- Es hat somit keinen konkreten Anfang und kein Ende
- Das Tracking funktioniert über die Zeit
- Die Dauer wie lange eine Verbindung ohne Antwortpaket als ESTABLISHED angesehen wird, kann man hier einsehen und einstellen
- sysctl net.netfilter.nf_conntrack_udp_timeout
net.netfilter.nf_conntrack_udp_timeout = 30
- /proc/sys/net/netfilter/nf_conntrack_udp_timeout