我目前正在阅读戈登·费奥多·里昂的"NMAP网络扫描“一书。第77页描述了NMAP如何根据主机的响应(或不响应)对端口进行分类。
帮助我更好地理解它们的是对主人返回的旗帜的清晰联想。因此,我创建了下面的列表,希望你们能加倍检查:
State Response
Open SYN/ACK (SYN probe)
Closed RST (SYN probe)
Filtered No Answer or ICMP Type 3 and 13 (SYN probe)
Unfiltered
对抗一次大的SYN洪水攻击,每2分钟重复发生一次。
在攻击期间,syn-rcv的数目在290-550之间。
ss -n state syn-recv sport = :80 | wc -l
CPU 100% (htop输出)
📷
尝试过cloudflare防火墙,一点帮助都没有,似乎帮不上忙
积压增加到16K,启用SYN Cookies ..。什么也帮不了..。
我最近有一个服务器停机。我到处都找过了,我在日志文件中唯一找到的就是:
Feb 17 18:58:04 localhost kernel: possible SYN flooding on port 80. Sending cookies.
Feb 17 18:59:33 localhost kernel: possible SYN flooding on port 80. Sending cookies.
谁能给我更多关于这件事的信息。WHat就是它,我如何调试原因和如何修复相同的原因。我还发布了天涯突然变得太大了,这是我发现的另一个不寻常的数据点,我想知道这两件事是否是连接在一起的,因为它
我有一个缓慢的互联网连接,大约12 on /S。在10分钟内,我从不同的In中检测到路由器上的分布式端口扫描。我在600秒内统计了这些SYN数据包(10分钟,总共有1119个SYN数据包)。
为什么会发生这种情况?他们在寻找哪个港口?ICMP数据包被丢弃,所有SYN数据包也被丢弃到所有端口。对于其他几个服务,有一个有状态的UDP过滤器。他们在找什么?ASNs来自世界各地。