中国

知道创宇的云防御平台

奇安信的网站卫士

tcpdump抓vrrp包(keepalived多集群环境)

反馈:

• 有的集群包能抓到，有的不能

• 在启动/不启动keepalived进程的服务器上抓包现象还不一样

首先确认集群未使用单播方式即未配置unicast_peer

docker-compose部署matrix

配置文件中的域名、密码、Key、SECRET等配置按需替换

• Nginx代理
• 支持 sliding sync proxy
• ssl证书（测试用）可通过certbot –nginx matrix.test.com获取

公私钥生成

服务端私钥

1

wg genkey > server-key

交换机ACL方向问题

增加ACL的时候经常遇到方向问题（IN/OUT/SRC_IP/DST_IP），弄个图查阅方便

Linux CPU使用率计算

前置 - CPU主频

主频即CPU的时钟频率，计算机的操作在时钟信号的控制下分步执行，每个时钟信号周期完成一部操作，时钟频率的高低一定程度上反应了CPU速度的快慢，影响因素还有很多其它性能指标（缓存、指令集、CPU位数等）

cat /proc/cpuinfo可看到CPU相关信息，其中包括CPU型号

1

model name      : Intel(R) Xeon(R) Silver 4216 CPU @ 2.10GHz

如上，2.10GHz，代表此CPU的主时钟脉冲信号的频率为2.10GHz

建议

遇到类似问题不要限于解决当前问题，举一反三、深入理解

例如错误提示具体什么意思，连接过程是怎样，更进一步”对称、非对称、hash 常见算法，试用场景”等

现象

ssh客户端连接服务端失败

错误信息示例

1
2

test@dev ~ $ ssh test@192.168.0.100
Unable to negotiate with 192.168.0.100 port 22: no matching key exchange method found. Their offer: diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1

更多详情可追加-vv，一些关键信息如下

Bash脚本内容

常规Bash审计方案或方法，很少有记录“脚本内容”的，一般只会记录test用户执行了test.sh脚本：test.sh具体内容是什么不清楚

这就容易造成：

• 恶意的审计绕过
• 完整事件无法回溯，test.sh完全可以执行完毕后进行删除或修改

平均负载 load averages

很多文章介绍负载拿高速公路、银行取号、餐厅取餐等场景举例，有的确实能让人融会贯通，有的让刚接触的人更迷糊

其实要想很好的理解负载，看man uptime足够了

同网段通信是基于MAC地址

clientA（192.168.168.1）发送数据/连接 serverA（192.168.168.2）: clientA没有本地arp cache的情况下, 首先会发送arp请求

ServerA 抓包如下

1
2
3
4
5
6
7
8

17:02:03.332700 52:54:00:8c:d8:6e > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Request who-has 192.168.168.2 tell 192.168.168.1, length 28
17:02:03.332756 52:54:00:85:ff:6c > 52:54:00:8c:d8:6e, ethertype ARP (0x0806), length 42: Reply 192.168.168.2 is-at 52:54:00:85:ff:6c, length 28
17:02:03.333484 52:54:00:8c:d8:6e > 52:54:00:85:ff:6c, ethertype IPv4 (0x0800), length 98: 192.168.168.1 > 192.168.168.2: ICMP echo request, id 9336, seq 1, length 64
17:02:03.333575 52:54:00:85:ff:6c > 52:54:00:8c:d8:6e, ethertype IPv4 (0x0800), length 98: 192.168.168.2 > 192.168.168.1: ICMP echo reply, id 9336, seq 1, length 64
...
...
17:02:08.843216 52:54:00:85:ff:6c > 52:54:00:8c:d8:6e, ethertype ARP (0x0806), length 42: Request who-has 192.168.168.1 tell 192.168.168.2, length 28
17:02:08.844172 52:54:00:8c:d8:6e > 52:54:00:85:ff:6c, ethertype ARP (0x0806), length 42: Reply 192.168.168.1 is-at 52:54:00:8c:d8:6e, length 28

疑惑的是通信过程中serverA也会发送arp请求clientA的MAC，这个细节之前还真没注意过。