请大家一起分析一段 tcpdump 的信息

wd

1. \r\n14:39:00.055063 IP 1.1.1.1.2110 > abc.com.http: S 2291834939:2291834939(0) win 65535 <mss 1452,nop,wscale 2,nop,nop,sackOK>\r\n14:39:00.055072 IP abc.com.http > 1.1.1.1.2110: S 3830471046:3830471046(0) ack 2291834940 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 2>\r\n14:39:00.198600 IP 1.1.1.1.2110 > abc.com.http: . ack 1 win 64251 \r\n14:39:06.210273 IP 1.1.1.1.2138 > abc.com.http: S 1860230847:1860230847(0) win 65535 <mss 1452,nop,wscale 2,nop,nop,sackOK>\r\n14:39:06.210280 IP abc.com.http > 1.1.1.1.2138: S 3861191730:3861191730(0) ack 1860230848 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 2>\r\n14:39:06.287274 IP 1.1.1.1.2138 > abc.com.http: . ack 1 win 64251 \r\n14:41:01.244034 IP abc.com.http > 1.1.1.1.2110: F 1:1(0) ack 1 win 1460\r\n14:41:01.307754 IP 1.1.1.1.2110 > abc.com.http: R 2291834940:2291834940(0) win 0 \r\n14:41:08.246171 IP abc.com.http > 1.1.1.1.2138: F 1:1(0) ack 1 win 1460\r\n14:41:08.310153 IP 1.1.1.1.2138 > abc.com.http: R 1860230848:1860230848(0) win 0 \r\n

复制代码

\r\n\r\n上面这段是我的apache server上面抓的tcpdump信息.服务提供的非常简单，就是一个php文件，代码就2，3行。所以请求完这个文件很快的，但是最近发现总是有些ip连接过来之后，要等到120s才会断开，所以抓包分析一下。\r\n\r\n我分析的结果是，这个ip貌似连接过来之后，建立了tcp连接后，什么事情都没干。等了大概120秒之后，我的服务器发送了 F 给那个ip，那个ip给我返回了一个 R，我有发一个F，那个ip继续返回R。此后应该是apache进程就没了，所以没有后续信息了。\r\n\r\n这是被攻击了么？这个ip很奇怪阿，SYN flood的话，应该是不会真正建立tcp连接的吧？

wd

这个120秒，似乎是这个内核参数控制的吧？\r\n\r\nnet.ipv4.inet_peer_minttl = 120\r\n\r\n可是我修改了之后，不起作用，郁闷。