服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 无尽的SYN_RECV进入ipv4接口瓦特/ tcp6协议… syn洪水尝试?
Intereting Posts
前缀委派和路由创build 木偶:节点名称似乎依赖于反向dns? Box来创build一个VNC到多个服务器的VGA输出和键盘 针对简单的proxmox设置的基础设施devisebuild议 HTTPD通过Web App限制对文件的访问 WSUS和AV如何更新和pipe理空隙Windows Boxen上的合规性报告? 亚马逊EC2 + DNS混淆 混淆MySql错误 有可能使用谷歌smtp从我的服务器发送电子邮件? 有线调制解调器logging他们是由isp分配的? 访问被禁止! 当documentroot不在apache默认根目录下时用于虚拟主机 向iTunes播客提供部分内容 mysqld问题 打包自定义依赖关系的python软件 您如何确定协商的NIC连接速度/双工,以及如何保持它们的一致性?

无尽的SYN_RECV进入ipv4接口瓦特/ tcp6协议… syn洪水尝试?

我把我托pipe的网站移到了一台新机器上,在我closures之前,我正在等待所有的stream量在旧机器上消失。 主机是fedora 24在linode上运行。 所以我注意到,现在只有一个IP号码连续打到机器上,我不知道我在看什么。 在我的linode图上,我看到“tcp6”图上一个稳定的stream量ping,所以我看netstat,我看到这个: 

# netstat -nt Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 236 ..... <my SSH connection to the machine> ... ESTABLISHED tcp6 0 0 45.79.130.46:80 113.212.156.53:80 SYN_RECV

这些消息不断发生,并没有在日志中的日志,所以它似乎正在试图在我的服务器上的某种滥用,但我不明白它的本质。

然后为113号码运行一个tcpdump,这就是我所看到的: 

 tcpdump -nv -tttt -i eth0 -s 65535 port 80 and \( src 113.212.156.53 or dst 113.212.156.53 \) tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 2017-09-22 14:49:06.596326 IP (tos 0x0, ttl 53, id 171, offset 0, flags [none], proto TCP (6), length 40) 113.212.156.53.http > 45.79.130.46.http: Flags [S], cksum 0x48e6 (correct), seq 2832531456, win 0, length 0 2017-09-22 14:49:06.596425 IP (tos 0x0, ttl 64, id 32829, offset 0, flags [DF], proto TCP (6), length 40) 45.79.130.46.http > 113.212.156.53.http: Flags [.], cksum 0x4169 (correct), ack 1890582529, win 29200, length 0 2017-09-22 14:49:06.597206 IP (tos 0x0, ttl 53, id 200, offset 0, flags [none], proto TCP (6), length 40) 113.212.156.53.http > 45.79.130.46.http: Flags [S], cksum 0x8afc (correct), seq 1723793408, win 0, length 0 2017-09-22 14:49:08.737416 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 44) 45.79.130.46.http > 113.212.156.53.http: Flags [S.], cksum 0xbda5 (incorrect -> 0x29ac), seq 2451913564, ack 1890582529, win 29200, options [mss 1460], length 0 2017-09-22 14:49:20.592584 IP (tos 0x0, ttl 53, id 69, offset 0, flags [none], proto TCP (6), length 40) 113.212.156.53.http > 45.79.130.46.http: Flags [S], cksum 0x986c (correct), seq 1498349568, win 0, length 0 2017-09-22 14:49:20.592689 IP (tos 0x0, ttl 64, id 36687, offset 0, flags [DF], proto TCP (6), length 40) 45.79.130.46.http > 113.212.156.53.http: Flags [.], cksum 0x4169 (correct), ack 1, win 29200, length 0 2017-09-22 14:49:20.592722 IP (tos 0x0, ttl 53, id 80, offset 0, flags [none], proto TCP (6), length 40) 113.212.156.53.http > 45.79.130.46.http: Flags [S], cksum 0x8e85 (correct), seq 1664483328, win 0, length 0 2017-09-22 14:49:35.705215 IP (tos 0x0, ttl 53, id 152, offset 0, flags [none], proto TCP (6), length 40) 113.212.156.53.http > 45.79.130.46.http: Flags [S], cksum 0xddfc (correct), seq 331284480, win 0, length 0 2017-09-22 14:49:35.705303 IP (tos 0x0, ttl 64, id 37543, offset 0, flags [DF], proto TCP (6), length 40) 45.79.130.46.http > 113.212.156.53.http: Flags [.], cksum 0x4169 (correct), ack 1, win 29200, length 0 2017-09-22 14:49:35.753541 IP (tos 0x0, ttl 53, id 56, offset 0, flags [none], proto TCP (6), length 40) 113.212.156.53.http > 45.79.130.46.http: Flags [S], cksum 0x6838 (correct), seq 2307063808, win 0, length 0

我不知道这是否是某种攻击。 (编辑:我认为这是一个顺stream洪水尝试)

编辑:新的服务器实际上显示了更多的这些。 我已经改变了httpd在0.0.0.0上进行监听,这样就把SYN_RECV连接移动到“tcp”而不是“tcp6”,并且在https://mithunkumr.wordpress.com/tag/syn-flood-attack / 。