約1分毎に1パケットしかない状態でZeekがログを出さない問題

[takuma0121]

まずは原因分析から

[takuma0121]

以下、関係している可能性あり

CaptureLoss::Too_Little_Traffic Only observed 0 TCP ACKs and was expecting at least 1.

[iwswhrk]

Captureloss.logはTCPのシーケンス番号をみてTCPのロス率を出しているので上記のログはconn.logに載らない問題とはおそらく関係ない。

• caputureloss.logの説明
  • https://docs.zeek.org/en/master/logs/capture-loss-and-reporter.html
  • https://docs.zeek.org/en/master/scripts/policy/misc/capture-loss.zeek.html
• 読んでないが上記のログは以下
  • https://github.com/zeek/zeek/blob/e982a18792c3327c04a05efe64b92b573b1a17f9/scripts/policy/misc/capture-loss.zeek#L90

zeekがログを出さない問題再現検証

• 環境
  • core/sensor: release-v3.0.1オンプレ版
  • zeek v5.0.0
• 1. 単発でTCP SYN 1パケットだけ投げる
  • pcapファイル

    1   0.000000 192.168.111.1 → 192.168.111.2 TCP 74 60828 → 5001 [SYN] Seq=0 Win=62720 Len=0 MSS=8960 SACK_PERM=1 TSval=3827391561 TSecr=0 WS=128
    

  • conn.logに出力されることを確認

    1721617865.261335	Cyoge01uvxLza3Y2P4	192.168.111.1	60828	192.168.111.2	5001	tcp	-	-	-	-	S0	T	T	0	S	1	60	0	0	-	22:cb:92:eb:44:67	82:8e:58:8d:c6:ee
    

• 2. TCP SYNパケットを1分おきに投げる
  • 毎分のconn.logに出力されることを確認

    1721641502.741364	CH5cSh4OPtaZa6pRsl	192.168.111.1	60828	192.168.111.2	5001	tcp	-	-	-	-	S0	T	T	0	S	1	60	0	0	-	22:cb:92:eb:44:67	82:8e:58:8d:c6:ee
    ---
    1721641561.991097	Cp0YGT30i5oY9TKa58	192.168.111.1	60828	192.168.111.2	5001	tcp	-	-	-	-	S0	T	T	0	S	1	60	0	0	-	22:cb:92:eb:44:67	82:8e:58:8d:c6:ee
    ---
    1721641621.351101	Ch1iA62XHlCYrZMPtd	192.168.111.1	60828	192.168.111.2	5001	tcp	-	-	-	-	S0	T	T	0	S	1	60	0	0	-	22:cb:92:eb:44:67	82:8e:58:8d:c6:ee
    

• 3. icmp 1パケット送信
  • 1~2分遅れるがconn.logに出力あり。icmpなのにポート番号ついてる？

    1721643934.388007	CqpXXF3RAJMdxmcG01	192.168.111.1	8	192.168.111.2	0	icmp	-	0.000057	56	56	OTH	T	T	0	-	1	84	1	84	-	22:cb:92:eb:44:67	82:8e:58:8d:c6:ee
    

• SYNパケット, icmpではzeekがログを出さない事象再現できず
• ACKが返っていないのは関係なさそう