我在我的小型专用网络中玩NMAP,执行端口扫描。
到目前为止,我已经扫描了以下OSs (未修改的新安装--意味着没有安装额外的软件!):
Ubuntu 14.04
Windows 2012
Windows 2008 R2
Windows 7
对于W7,所有其他开放源码软件返回的端口都已打开。W7在其原始版本中是安全的,还是在NMAP命令中缺少了任何参数?
root@ubuntu-14:/# nmap 192.168.0.10 -sS -vv
Starting Nmap 6.40 ( http://nmap.org ) at 2015-11-22 09:26 CET
Initiating AR
我目前正在阅读戈登·费奥多·里昂的"NMAP网络扫描“一书。第77页描述了NMAP如何根据主机的响应(或不响应)对端口进行分类。
帮助我更好地理解它们的是对主人返回的旗帜的清晰联想。因此,我创建了下面的列表,希望你们能加倍检查:
State Response
Open SYN/ACK (SYN probe)
Closed RST (SYN probe)
Filtered No Answer or ICMP Type 3 and 13 (SYN probe)
Unfiltered
对抗一次大的SYN洪水攻击,每2分钟重复发生一次。
在攻击期间,syn-rcv的数目在290-550之间。
ss -n state syn-recv sport = :80 | wc -l
CPU 100% (htop输出)
📷
尝试过cloudflare防火墙,一点帮助都没有,似乎帮不上忙
积压增加到16K,启用SYN Cookies ..。什么也帮不了..。
我最近有一个服务器停机。我到处都找过了,我在日志文件中唯一找到的就是:
Feb 17 18:58:04 localhost kernel: possible SYN flooding on port 80. Sending cookies.
Feb 17 18:59:33 localhost kernel: possible SYN flooding on port 80. Sending cookies.
谁能给我更多关于这件事的信息。WHat就是它,我如何调试原因和如何修复相同的原因。我还发布了天涯突然变得太大了,这是我发现的另一个不寻常的数据点,我想知道这两件事是否是连接在一起的,因为它
我有一个(TCP)服务器,它每秒处理大量的新连接(1000-5000)。这将导致发送syn cookie:
kernel: possible SYN flooding on port 2710. Sending cookies.
Syn cookie并没有那么糟糕(在本例中),但是我如何避免这种情况。我可以转动什么应用程序或内核旋钮?有关这方面的文件似乎非常稀少。内核是Linux2.6.32 x64。
我们的系统使用运行在Ubuntu10.04上的Cassandra,在最后一次流量高峰期间,我们在日志中观察到以下消息:
possible SYN flooding on port 9160. Sending cookies.
这些机器不是公开可用的,通信是合法的--它来自我们自己的应用服务器。
有人知道内核进入"cookie“模式对调用者有什么影响吗?据我了解,服务器停止向待办队列添加半开放连接(SYN_RECV),但它是否以任何方式影响调用方(即我们的.NET应用程序)?是否有什么节流/延迟会引发恶性循环?
考虑到这些是内部机器,这种保护是否有意义?默认值tcp_max_syn_ba