- 论坛徽章:
- 0
|
今天早上来看到服务器的连接数突然增加了很多,通过分析发现是有一个ip连接非常猛。
1799 60.29.31.2 ESTABLISHED
733 60.29.31.2 FIN_WAIT1
正常情况下服务器的连接中“ESTABLISHED”的连接一般就200个左右,平均每个ip就1到2个“ESTABLISHED”状态的连接,这个很明显就是有人搞连接数攻击。
查看服务器访问日志,没有发现有该ip的访问记录,因此判断有可能是利用三次握手协议缺陷进行的ACK包攻击。
通过tcpdump分析,果然如此,只看到有进行三次握手的网络通信,看不到有进行http内容传送的数据包。
http > 60.29.31.2.4832: Flags [F.], seq 3639449274, ack 2319507391, win 91, length 0
想通过iptables进行屏蔽
/sbin/iptables -A INPUT -s 60.29.31.2 -j DROP
# iptables -nvxL|grep 60.29.31.2
0 0 DROP all -- * * 60.29.31.2 0.0.0.0/0
发现iptables屏蔽不掉这样的连接,连接数依然很高。
不知道对于这样的连接,该如何用iptables屏蔽掉。 |
|