日历
会员
搜索
下载
论坛博客
论坛银行
2008-12-03 06:09:07
鉴于不少朋友出现频繁失去服务器连接,无理由长期LowID(指防火墙/路由无问题,且外网情况下,部分服务器长期LowID),甚至无法连接服务器(一般为提示“已满”或“超时”)现象,特别跑去VC把这文章淘出来转载过来,至少就个人所知,目前大多数类似问题可以用此方法得到解决或缓解,特别是ISP是电信的情况下
Ps:文中提到的俩个防火墙中,天网在不少人实际使用中无效,原因不明= =
Ps2:除文中提及的俩种防火墙以外,据个人所知,Jetico和LNS同样有IP规则过滤,一样可以达到文中的设置同等效果,但是设置方面更复杂,请慎用(个人正在使用的就是Jetico),另:Jetico防火墙的2.0.2.8版会有漏过滤的情况,原因不明,其他版本正常
Ps3:如果担心造成自己频繁断线/无法连接服务器/无理由长期LowID的原因非ISP问题,怕安装设置防火墙白费劲的话,个人建议可以根据文中提供俩篇文章参考,抓取分析数据包
2009.3.23 update:经俩位网友确认,因ISP伪造数据包造成的不明原因的HighID情况无法上传问题也可以用此方法解决
2009.4.4 update:既然有人提出了cfosspeed自带防火墙,虽然咱这边基本上没啥效果,不过咱也就顺手把相关的设置方法分享如下。打开cfosspeed目录下的settings.ini文件,在其中的[filters]栏添加以下规则:
自去年年末eMule出现频繁失去连接的问题,我就经常关注这里。前些天看到一位高手在某个帖子里放了个截图(忘记是哪个帖子了),说是Reset包的问题。于是搜索一番,找到一篇名为Understanding TCP Reset Attacks, Part I的文章,看过之后对Reset Attacks有了一定的了解;看了另一篇名为《电信网页访问监控原理分析!》的帖子,决定自己动手试试,看看能否找出原因。
(上述两篇文章的地址分别为:
http://kerneltrap.org/node/3072
http://www.csna.cn/viewthread.php?tid=68&extra=page%3D3
感兴趣的朋友可以看看)
eMule连接服务器时抓取eMule所用TCP端口的数据包,如下图:
[img=600,176]http://img.verycd.com/post_thumbs/0801/post-452205-1201417023_thumb.jpg[/img]
请注意图中来自Razorback 3.0(85.17.52.92)的数据包,有两个数据包序列号相同;且同一个服务器返回的两个数据包生存时间差别如此之大,表示它们经过的路由存在较大的差异,这与正常通讯的状态明显不符;第3个数据包的确认号错误,由此我们怀疑第3个数据包可能是某个主机伪造的。这个数据包的TCP标志为ACK、RST,正是它导致连接被终止。
在eMule连接上服务器之后还能抓到很多TCP标志为ACK、RST和RST的数据包。找到了凶手,我就开始考虑用防火墙把它们拒之门外。我的电脑上安装的是瑞星个人防火墙,它的IP规则可以指定TCP数据包标志,但是帮助里没有说明勾选的TCP标志之间的关系是且还是或,所以失败了好多次。与客服联系,回复说TCP标志之间是“或”的关系,这就不明白了……
(IMG:http://img.verycd.com/posts/0801/post-452205-1201417074.jpg)
换用天网防火墙测试,通过观察它的日志,了解了它的TCP标志之间是且的关系,也就是说,要创建两条TCP规则才能过滤掉以上两种数据包。创建好规则后,可以在日志中看到两条规则在努力工作。
(IMG:http://img.verycd.com/posts/0801/post-452205-1201417102.jpg)
启用这两条规则前:
(IMG:http://img.verycd.com/posts/0801/post-452205-1201417209.jpg)
启用后:
(IMG:http://img.verycd.com/posts/0801/post-452205-1201417242.jpg)
*****************************************************************************
添加规则方法
瑞星个人防火墙:
在“详细设置”、规则顺序里选择“IP规则优先”。
[img=600,450]http://img.verycd.com/post_thumbs/0801/post-452205-1201417750_thumb.jpg[/img]
然后导入附件中的IP规则或按照如下步骤自行添加规则。
在IP规则内添加两条规则:名称任意,匹配动作“禁止”;计算机地址为“所有地址”、“任意地址”;协议为TCP,端口为所有端口,勾选指定TCP标志,两条规则分别勾选ACK+RST、RST。
天网防火墙个人版:
在IP规则中导入附件中的IP规则或按如下步骤自行添加规则。
名称任意,数据包方向“接收”;对方IP地址“任何地址”;数据包协议类型“TCP”;两条规则的TCP标志位分别选ACK+RST、RST。
(IMG:http://img.verycd.com/posts/0801/post-452205-1201418065.jpg)
*****************************************************************************
以上只是自己发现的方法,我对网络方面的知识很缺乏了解,不清楚这样做的负面影响是什么。如有错误,还请高手斧正。
另外,如果防火墙记录了日志,可以看到大量的这种数据包,不只是与服务器连接时才有。不知道是不是与其他客户端连接时也受到了干扰。
Jetico防火墙下的设置方法图在17L
Ps:文中提到的俩个防火墙中,天网在不少人实际使用中无效,原因不明= =
Ps2:除文中提及的俩种防火墙以外,据个人所知,Jetico和LNS同样有IP规则过滤,一样可以达到文中的设置同等效果,但是设置方面更复杂,请慎用(个人正在使用的就是Jetico),另:Jetico防火墙的2.0.2.8版会有漏过滤的情况,原因不明,其他版本正常
Ps3:如果担心造成自己频繁断线/无法连接服务器/无理由长期LowID的原因非ISP问题,怕安装设置防火墙白费劲的话,个人建议可以根据文中提供俩篇文章参考,抓取分析数据包
2009.3.23 update:经俩位网友确认,因ISP伪造数据包造成的不明原因的HighID情况无法上传问题也可以用此方法解决
2009.4.4 update:既然有人提出了cfosspeed自带防火墙,虽然咱这边基本上没啥效果,不过咱也就顺手把相关的设置方法分享如下。打开cfosspeed目录下的settings.ini文件,在其中的[filters]栏添加以下规则:
代码
filter=-fw -rx -tcp-flags ALL RST -c drop
filter=-fw -rx -tcp-flags ALL RST,ACK -c drop
filter=-fw -rx -tcp-flags ALL RST,ACK -c drop
自去年年末eMule出现频繁失去连接的问题,我就经常关注这里。前些天看到一位高手在某个帖子里放了个截图(忘记是哪个帖子了),说是Reset包的问题。于是搜索一番,找到一篇名为Understanding TCP Reset Attacks, Part I的文章,看过之后对Reset Attacks有了一定的了解;看了另一篇名为《电信网页访问监控原理分析!》的帖子,决定自己动手试试,看看能否找出原因。
(上述两篇文章的地址分别为:
http://kerneltrap.org/node/3072
http://www.csna.cn/viewthread.php?tid=68&extra=page%3D3
感兴趣的朋友可以看看)
eMule连接服务器时抓取eMule所用TCP端口的数据包,如下图:
[img=600,176]http://img.verycd.com/post_thumbs/0801/post-452205-1201417023_thumb.jpg[/img]
请注意图中来自Razorback 3.0(85.17.52.92)的数据包,有两个数据包序列号相同;且同一个服务器返回的两个数据包生存时间差别如此之大,表示它们经过的路由存在较大的差异,这与正常通讯的状态明显不符;第3个数据包的确认号错误,由此我们怀疑第3个数据包可能是某个主机伪造的。这个数据包的TCP标志为ACK、RST,正是它导致连接被终止。
在eMule连接上服务器之后还能抓到很多TCP标志为ACK、RST和RST的数据包。找到了凶手,我就开始考虑用防火墙把它们拒之门外。我的电脑上安装的是瑞星个人防火墙,它的IP规则可以指定TCP数据包标志,但是帮助里没有说明勾选的TCP标志之间的关系是且还是或,所以失败了好多次。与客服联系,回复说TCP标志之间是“或”的关系,这就不明白了……
(IMG:http://img.verycd.com/posts/0801/post-452205-1201417074.jpg)
换用天网防火墙测试,通过观察它的日志,了解了它的TCP标志之间是且的关系,也就是说,要创建两条TCP规则才能过滤掉以上两种数据包。创建好规则后,可以在日志中看到两条规则在努力工作。
(IMG:http://img.verycd.com/posts/0801/post-452205-1201417102.jpg)
启用这两条规则前:
(IMG:http://img.verycd.com/posts/0801/post-452205-1201417209.jpg)
启用后:
(IMG:http://img.verycd.com/posts/0801/post-452205-1201417242.jpg)
*****************************************************************************
添加规则方法
瑞星个人防火墙:
在“详细设置”、规则顺序里选择“IP规则优先”。
[img=600,450]http://img.verycd.com/post_thumbs/0801/post-452205-1201417750_thumb.jpg[/img]
然后导入附件中的IP规则或按照如下步骤自行添加规则。
在IP规则内添加两条规则:名称任意,匹配动作“禁止”;计算机地址为“所有地址”、“任意地址”;协议为TCP,端口为所有端口,勾选指定TCP标志,两条规则分别勾选ACK+RST、RST。
天网防火墙个人版:
在IP规则中导入附件中的IP规则或按如下步骤自行添加规则。
名称任意,数据包方向“接收”;对方IP地址“任何地址”;数据包协议类型“TCP”;两条规则的TCP标志位分别选ACK+RST、RST。
(IMG:http://img.verycd.com/posts/0801/post-452205-1201418065.jpg)
*****************************************************************************
以上只是自己发现的方法,我对网络方面的知识很缺乏了解,不清楚这样做的负面影响是什么。如有错误,还请高手斧正。
另外,如果防火墙记录了日志,可以看到大量的这种数据包,不只是与服务器连接时才有。不知道是不是与其他客户端连接时也受到了干扰。
Jetico防火墙下的设置方法图在17L
