这是一个创建于 1675 天前的主题,其中的信息可能已经有所发展或是发生改变。
背景: 公司服务器流量发现 ddos syn 半连接攻击。
说明: ddos syn 半连接攻击,是利用 tcp 三次握手,攻击源向目标服务器发送大量 syn 数据包,在接收的 ack+syn 包后,不返回 ack 包的情况,导致目标服务器大量资源被占用。
我的排查:
现在想找出在今年一月一号那天发起攻击的 ip 地址,通过查找 netflow 流量数据分析。
1. 使用过滤条件'flags S' -A srcip -O packets,把发送 syn 包最多的 ip 排序(如最多的地址:1.1.1.1 )
2. "src ip 1.1.1.1 and flags A" -o "fmt:%flg"'。看看这个 ip 发送了几个 ack 数据包
3.通过判断 syn 数据包和 ack 数据包的比例判断是不是攻击 ip
疑问: 在运行了这一天的 netflow 数据后,发现机会没有 syn 数据包和 ack 数据包大致相等的 ip,要么是 syn 数量远大于 ack, 要么是 ack 数量远大于 syn 。不明白为什么会出现这种情况,除非这些 ip 都不正常。
目前尚无回复
Select Language