系统: Arch Linux x86_64
复现步骤:
- 在配置文件中开启 redir port
redir-port: 7892
在规则的第一条插入IP-CIDR,127.0.0.0/8,DIRECT - 启动 clash
- 执行
curl http://127.0.0.1:7892
现象:
- 日志中出现大量
level=info msg="127.0.0.1 --> 127.0.0.1 match IPCIDR using DIRECT"
和
level=warning msg="dial DIRECT error: dial tcp4 127.0.0.1:7892: socket: too many open files" - 高 cpu 占用
- clash 的 HTTP proxy 停止工作
duament
All 8 comments
你是指存在一个 DoS 攻击是吗
Dreamacro
on 10 Dec 2019
duament
on 10 Dec 2019
是个回环,clash 用 getorigdst 拿到的 address 就是 127.0.0.1:7892 ,然后又从 DIRECT 出去访问 redir port了。
可以使用 iptables uid filter 禁止 clash 出站流量回环之类的方法解决。
comzyh
on 18 Dec 2019
👍1
可以使用 iptables uid filter 禁止 clash 出站流量回环之类的方法解决。
解决了,感谢。
iptables -A OUTPUT -d 127.0.0.1 -p tcp -m owner --uid-owner clash -m tcp --dport 7892 -j REJECT
edit:
有一个更好的方法:在 REDIRECT 的同时打标签,然后禁止没有标签的流量进入 redir port
iptables -A INPUT -d 127.0.0.1 -p tcp -m tcp --dport 7892 -m connmark ! --mark 5 -j REJECT
...
iptables -A CLASH -p tcp -j CONNMARK --set-mark 5
iptables -A CLASH -p tcp -j REDIRECT --to-ports 7892
👍4
@Dreamacro 有沒有可能實作一個檢測回環避免 DoS Attack 的功能
BirkhoffLee
on 13 Feb 2020
最好能从代码根治这个问题。。。
rongjch
on 12 May 2020
最好能从代码根治这个问题。。。
技术上有什么想法吗?
检测方面: 如何判断流量是不是从clash发出去的?
处理方面: 如果回环存在,一般是外部配置出现了问题。即便检测到了回环,clash 能做什么?我目前能想到的只是能: 1. 避免自己处理能力被耗尽 2. 提示用户。并不能做什么使得流量被正确转发。
comzyh
on 12 May 2020
This issue is stale because it has been open 120 days with no activity. Remove stale label or comment or this will be closed in 5 days
![github-actions[bot] picture](https://avatars2.githubusercontent.com/in/15368?v=4&s=40)
github-actions[bot]
on 10 Sep 2020
Was this page helpful?
0 / 5 - 0 ratings
Related issues
wangxin6
·
4Comments
lichen0501
·
3Comments
luvletter2333
·
5Comments
hongyi-zhao
·
4Comments
ingjieye
·
6Comments
Most helpful comment
解决了,感谢。
iptables -A OUTPUT -d 127.0.0.1 -p tcp -m owner --uid-owner clash -m tcp --dport 7892 -j REJECTedit:
有一个更好的方法:在 REDIRECT 的同时打标签,然后禁止没有标签的流量进入 redir port