Метки

Метки – это быстрые таблицы данных, предназначенные для временной фиксации информации о сетевых пакетах и соединениях. Они используются для управления трафиком, выявления угроз и отладки правил фильтрации. ( добавить что хранятся в ОС)

Виды меток

Система поддерживает четыре типа меток: HMARK, DHMARK, SDHMARK, CONNMARK.

  • HMARK - Фиксирует адрес источника

  • DHMARK - Фиксирует адрес назначения

  • SDHMARK - Фиксирует адреса источника и назначения

  • CONNMARK - Фиксирует полный 5-tuple соединения: IP-адреса источника и назначения, порты источника и назначения, транспортный протокол (L4).

Каждая запись в метке имеет:

  • ID – идентификатор записи.

  • Value - числовое значение которым можно управлять через правила.

  • Age – количество времени с момента добавления записи в метку.
  • Lifetime – количество времени до истечения метки. При поступлении новых пакетов от источника попадающих под правило с меткой lifetime обновляется. После истечения времени записи она становится невалидной (expired).

Принцип работы

1.Создание метки:

  • При срабатывании заданного правила (например, превышение порога количества пакетов) в метку записываются параметры трафика (зависит от вида метки).
  • Запись в метке содержит ID, адрес источника или назначения, порты, протокол, value и lifetime.

2.Применение метки в правилах:

  • При поступлении нового пакета проверяется наличие соответствующей активной метки.
  • Если метка существует и её статус валиден, могут применяться различные действия: блокировка пакета, перенаправление и т. д.

3.Удаление или обновление метки:

  • При каждом новом нарушении lifetime может обновляться, продлевая действие блокировки.
  • После истечения срока метка автоматически удаляется или может быть очищена вручную.

Пример использования метки

Сценарий: временная блокировка IP-адреса при DDoS-атаке

1.Фиксация нарушения:

  • Правило определяет, что IP-адрес отправил более 1000 пакетов за установленный интервал.
  • Этот адрес записывается в HMARK с ID = 2 и lifetime = 300 секунд.

2.Блокировка трафика:

  • При обработке новых пакетов система проверяет существует ли активная запись в HMARK с ID = 2.
  • Если запись валидна, все пакеты от данного IP-адреса сбрасываются.

3.Окончание блокировки:

  • Если в течение 300 секунд от этого IP не поступило новых пакетов, запись становится expired.
  • Если же трафик продолжается, lifetime обновляется и блокировка продлевается.

Этот механизм позволяет автоматически управлять временными блокировками, минимизируя ложные срабатывания и избегая постоянного занесения IP в чёрные списки.

Пример использования Value

для анализа трафика. блокировать слишком активных по скриншоту описать

IP-адрес 10.0.0.1 отправил 600 TCP SYN-пакетов → создаётся HMARK (Value = 1). Через 100 секунд он снова отправил 700 пакетов → Value увеличивается (Value = 2). При следующем нарушении Value = 3, и администратор может внести IP в префикс-сет (чёрный список).