我有一个思科3821交换机,坐在边上有4个来自中国的无法启动的连接。
c3821:#sh用户 ... 12 vty 11 idle 1y40w cm-114-109-36-18.revip13.asianet.co.th 13 vty 12 idle 1y40w cm-114-109-36-18.revip13.asianet.co.th 14 vty 13 idle 1y40w cm-114-109-36-18.revip13.asianet.co.th 15 vty 14 idle 1y40w cm-114-109-36-18.revip13.asianet.co.th 16 vty 15 idle 1y40w cm-114-109-36-18.revip13.asianet.co.th
我试图杀死连接使用:
c3821#clear line vty 12
[确认] y [确定]
用户
线路用户主机空闲位置
...
12 vty 11 idle 1y40w cm-114-109-36-18.revip13.asianet.co.th
13 vty 12 idle 1y40w cm-114-109-36-18.revip13.asianet.co.th
14 vty 13 idle 1y40w cm-114-109-36-18.revip13.asianet.co.th
15 vty 14 idle 1y40w cm-114-109-36-18.revip13.asianet.co.th
16 vty 15 idle 1y40w cm-114-109-36-18.revip13.asianet.co.th
我的问题:
这看起来像TCP同步泛滥攻击。
您需要找出TCB号码才能清除会话。
传输控制块(TCB)是一个传输协议数据结构(实际上是许多操作系统中的一组结构),它包含有关连接的所有信息。 单个TCB的内存占用量取决于实现提供的TCP选项和其他function,并启用了连接。 通常情况下,每个TCB至less要超过280个字节,而在某些操作系统中,目前需要超过1300个字节。 TCP SYN-RECEIVED状态用来表示连接只有一半打开,并且请求的合法性仍然存在问题。 需要注意的重要一点是,TCB是在接收到SYN数据包的基础上分配的 – 在连接完全build立之前或者发起者的返回可达性已经被validation。
来源和详细信息: 防止TCP SYN泛滥攻击 。
要找出TCB号码,请使用:
show tcp brief
并清除会话:
clear tcp tcb tcb_number