背景: 公司服务器流量发现 ddos syn 半连接攻击。
说明: ddos syn 半连接攻击,是利用 tcp 三次握手,攻击源向目标服务器发送大量 syn 数据包,在接收的 ack+syn 包后,不返回 ack 包的情况,导致目标服务器大量资源被占用。
我的排查:
现在想找出在今年一月一号那天发起攻击的 ip 地址,通过查找 netflow 流量数据分析。
1. 使用过滤条件'flags S' -A srcip -O packets,把发送 syn 包最多的 ip 排序(如最多的地址:1.1.1.1 )
2. "src ip 1.1.1.1 and flags A" -o "fmt:%flg"'。看看这个 ip 发送了几个 ack 数据包
3.通过判断 syn 数据包和 ack 数据包的比例判断是不是攻击 ip
疑问: 在运行了这一天的 netflow 数据后,发现机会没有 syn 数据包和 ack 数据包大致相等的 ip,要么是 syn 数量远大于 ack, 要么是 ack 数量远大于 syn 。不明白为什么会出现这种情况,除非这些 ip 都不正常。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.