各位来看看这是不是syn攻击
这样的记录大约有100条,是小区内网一个机器发送的,这是不是syn攻击啊,当时其它机器上网打开网页都很慢,怎么办 可以确定是。 那打不开网页,或网页显示不全,是不是这个影响的? 是的!老是一个IP 个人认为,不完全能够认定。1、才100多个,也能称得上攻击??
2、看看你的CPU用的很少,应该还不到拒绝服务的时候。
3、你没有LAN流量和发包的监测数据吗?
4、对该机器你监控分析了吗?
我认为对攻击的认定还是认真一些的好。 同意5楼的思路
ip fi co pr co
看看当时有多少连接可以间接判断..... 我也有这种情况,怎样预防 这个不能预防.....实际上这个现象有几个可能,我们可以作出如下推论
1.我们先假设真的是攻击,那么一个攻击必然有一个明确的目标,不是外网某个ip就是攻击本地路由...在这里可以直接否决他在攻击外网,因为明确看到他的访问对象是随机的,而且是非序列的.......因为我们已经有一个禁止非内网ip不可访问的策略,所以我先猜测他是在规避这个策略,随即访问外部ip,制造大量流量和连接数来疲劳本地路由,但楼主说连接数不多(100),这个也可以通过我上面的ip fi co pr co间接判断,所以基本上也可以初步排除攻击本地路由的可能
2.已经知道部分p2p软件也会表现成上图,但疑点在TCP State现实为syn,这个的确是需要重视的问题,但给予现在路由并有明前影响使用的症状(至少楼主还能上线抓图),所以我这里推测,因为是isp直接屏蔽了该p2p连接,所以syn sent之后无法获得返回.....所以state显示为syn等待状态. 楼上的说了我想说的话
这年头那些菜鸟 见风就是雨
呵呵 ..........楼上的,我的帖你也反驳过,不过..........清明时节雨纷纷,水分就不要再加了,反驳或者支持,至少清晰表达出你的技术观点(虽然其实算不上技术),而不是高姿态泛泛而谈.........其实我并没有菜鸟或者所谓高手的概念,都只是互相扶持前进而已,关键只是态度要正确,毕竟自问自己,"战胜"过的所谓高手不在少数,在"菜鸟"面前出丑的次数就更多,前面的路还有很远,前面还有非常多人领先自己很多.............
不知道你,除了说别人是菜鸟外,还会做什么?
[ 本帖最后由 seignior 于 2007-3-21 23:18 编辑 ] 恩,痛定思痛,经过认真分析,发现不一定是syn攻击,我问了小区那一家,他说他在PPLIVE,100个syn也有可能是这个软件出产的吧,5楼说的对 都是高手呢 低调的高手,, 我也不敢敢确认是SYN FOOLD 需要进一步观察,呵呵 给你几分颜色你就开染坊了
动不动就分析这个分析那个
解决方案你说了几个?
呵呵
[ 本帖最后由 crack_ros 于 2007-4-12 09:53 编辑 ]
页:
[1]
2