Stowaway
Stowaway copied to clipboard
ph4ntonn
admin 长时间运行有概率退出
最近的使用中,搭建了多级代理,但平均两天管理端就会退出掉线,重新运行又会加入节点。 在screen下执行的./linux_x64_admin -l 11111 -s 123 ,每次都是发现socks代理无法访问才知道admin掉线了。 因为没有日志,所以无法提供详细说明😭 另外在攻防中发现在某些特定环境(比如有安全设备)下 agent在连接admin时会被(不知名力量)强制断开连接,admin也会收到报错信息,但是使用frp socks代理能正常连接。
最近的使用中,搭建了多级代理,但平均两天管理端就会退出掉线,重新运行又会加入节点
这个主要是由于stowaway没有建立心跳包的机制,本意是为了尽可能在不使用的时候减少流量侧的动静,但副作用就是师傅所描述的,可能会由于长时间闲置导致链接被杀
另外在攻防中发现在某些特定环境(比如有安全设备)下 agent在连接admin时会被(不知名力量)强制断开连接,admin也会收到报错信息,但是使用frp socks代理能正常连接。
这个可能是(我猜的)由于release中的stowaway为了缩小体积使用了upx加壳,容易被查杀。可以试试自行编译agent或者直接upx还原agent,这样被查杀的几率会小一点,当然,如果师傅能提供安全设备的相关日志就更好了,我可以针对相关检测点做一些优化
这个主要是由于stowaway没有建立心跳包的机制,本意是为了尽可能在不使用的时候减少流量侧的动静,但副作用就是师傅所描述的,可能会由于长时间闲置导致链接被杀
我是使用扫描器走stowaway的socks5,应该不会长时间闲置,会不会因为是高并发?我现在加了screen的日志,到时候再掉线我再看看
这个可能是(我猜的)由于release中的stowaway为了缩小体积使用了upx加壳,容易被查杀。可以试试自行编译agent或者直接upx还原agent,这样被查杀的几率会小一点,当然,如果师傅能提供安全设备的相关日志就更好了,我可以针对相关检测点做一些优化
我怀疑是不是网络环境问题,当时agent并没有被杀掉,进程还在,就是显示连接被外部主机断开,admin也能收到报错,应该是能通信,但是由于某些原因被阻断了,但是frp能够反向代理连接成功,这就很奇怪。
我是使用扫描器走stowaway的socks5,应该不会长时间闲置,会不会因为是高并发?我现在加了screen的日志,到时候再掉线我再看看
如果是高并发导致掉线,那可能是有panic,这要麻烦师傅抓一下日志了,这类bug我会第一时间修复的
我怀疑是不是网络环境问题,当时agent并没有被杀掉,进程还在,就是显示连接被外部主机断开,admin也能收到报错,应该是能通信,但是由于某些原因被阻断了,但是frp能够反向代理连接成功,这就很奇怪。
那听上去像是流量设备的阻断?我尽快把tls加进去吧,可能是流量上的特征被识别了,之前写了没合进去主要还是考虑到包大小
5点钟掉线日志:
[*] Trying to listen on 0.0.0.0:52223......[0m[33m
[*] Waiting for agent's response......[0m[32m
[*] Socks start successfully![0m
(node 1) >> [31m
[*] Peer node seems offline![0m[34h[?25h[m[H[J[?1049l[?1l>[?1006l[?1015l[?1002l[?1000l
root@ToolsMachine:~#
应该是使用扫描器的时候断的,重新运行admin,又能重连回来,所以我觉得应该要修改一下逻辑,检测到节点掉线应该重新监听端口,等待agent连接,而不是一检测节点掉线就直接退出admin。