tcpdump抓的包，帮我看看这段是syn攻击么？

xuanren

我的网络拓扑结构：\r\nweb+router(smoothwall)+外部公网（FTTB）\r\n前段时间web服务越来越慢，后来干脆无响应。抓包前，外面已经不能访问我映射出去的web服务，但内部可以管理router。\r\n\r\n在外网卡抓了包，分析了一下：\r\n05:37:32.946164 IP 222.69.201.108.23579 >; myip.http: S 2063669705:2063\r\n669705(0) win 7168 <mss 536,nop,wscale 0,nop,nop,timestamp[|tcp]>;\r\n05:37:32.946748 IP myip.http >; 222.69.201.108.23579: S 1380871688:1380\r\n871688(0) ack 2063669706 win 16616 <mss 1460,nop,wscale 0,nop,nop,timestamp[|tcp\r\n]>;\r\n05:37:35.878949 IP myip.http >; 222.69.201.108.23579: S 1380871688:1380\r\n871688(0) ack 2063669706 win 16616 <mss 1460,nop,wscale 0,nop,nop,timestamp[|tcp\r\n]>;\r\n05:37:35.979529 IP myip.http >; 222.69.201.108.23577: S 1129593690:1129\r\n593690(0) ack 262777394 win 16616 <mss 1460,nop,wscale 0,nop,nop,timestamp[|tcp]\r\n>;\r\n05:37:41.914504 IP myip.http >; 222.69.201.108.23579: S 1380871688:1380\r\n871688(0) ack 2063669706 win 16616 <mss 1460,nop,wscale 0,nop,nop,timestamp[|tcp\r\n]>;\r\n05:37:51.055771 IP 222.69.201.108.23582 >; myip.http: S 3993886453:3993\r\n886453(0) win 7168 <mss 536,nop,wscale 0,nop,nop,timestamp[|tcp]>;\r\n05:37:51.056327 IP myip.http >; 222.69.201.108.23582: S 616408221:61640\r\n8221(0) ack 3993886454 win 16616 <mss 1460,nop,wscale 0,nop,nop,timestamp[|tcp]>;\r\n05:37:53.939357 IP 222.69.201.108.23582 >; myip.http: S 3993886453:3993\r\n886453(0) win 7168 <mss 536,nop,wscale 0,nop,nop,timestamp[|tcp]>;\r\n05:37:53.939810 IP myip.http >; 222.69.201.108.23582: . ack 1 win 16616\r\n <nop,nop,timestamp 1636746 0>;\r\n05:37:53.985651 IP myip.http >; 222.69.201.108.23582: S 616408221:61640\r\n8221(0) ack 3993886454 win 16616 <mss 1460,nop,wscale 0,nop,nop,timestamp[|tcp]>;]\r\n05:37:57.012511 IP 222.69.201.108.23586 >; myip.http: S 2464806837:2464\r\n806837(0) win 7168 <mss 536,nop,wscale 0,nop,nop,timestamp[|tcp]>;\r\n05:37:57.013038 IP myip.http >; 222.69.201.108.23586: S 2195483504:2195\r\n483504(0) ack 2464806838 win 16616 <mss 1460,nop,wscale 0,nop,nop,timestamp[|tcp\r\n]>;\r\n05:37:59.972610 IP myip.http >; 222.69.201.108.23586: . ack 1 win 16616\r\n <nop,nop,timestamp 1636807 0>;\r\n05:38:00.021213 IP myip.http >; 222.69.201.108.23586: S 2195483504:2195\r\n483504(0) ack 2464806838 win 16616 <mss 1460,nop,wscale 0,nop,nop,timestamp[|tcp\r\n]>;\r\n05:38:00.021339 IP myip.http >; 222.69.201.108.23582: S 616408221:61640\r\n8221(0) ack 3993886454 win 16616 <mss 1460,nop,wscale 0,nop,nop,timestamp[|tcp]>;\r\n\r\n\r\n\r\n\r\n\r\n这些是在无法对外提供服务时抓包的数据中提取出来的，在这个过程中，只有这个222.69.201.108地址在访问我的web服务。如果说他是在尝试打开我的web，浏览我的web服务的话，他的频率也太频繁了吧？\r\n然后将其中这个222.69.201.108封掉后，重新认证,dhcp获得的地址竟然没变。而且可以继续向外提供web服务了\r\n\r\n\r\n请帮忙看看，这个是不是syn风暴？

xuanren

楼上的朋友什么意思？不理解

veryi.com

用iptables 把　222.69.201.108　封了呢？

xuanren

就是封了这个ip,现在情况正常了(目前为止)\r\n\r\n所以没法再重现原来web无法访问时的环境,我也知道,原先的抓包事件太少,就这么一点记录,无法完全说明情况.但这段记录确实让人怀疑了?

jiyu2004

很有可能是Syn flood攻击

xuanren

02:09:09.482458 IP x.4000 >; x.4000 : S 3868:3868(0) win \r\n2048 \r\n02:09:09.482624 IP x.4000 >; x.4000 : S 3868:3868(0) win \r\n2048 \r\n02:09:09.482791 IP x.4000 >; x.4000 : S 3868:3868(0) win \r\n2048 \r\n02:09:09.482959 IP x.4000 >; x.4000: S 3868:3868(0) win \r\n2048 \r\n02:09:09.483129 IP x.4000 >; x.4000: S 3868:3868(0) win \r\n2048 \r\n\r\n软路由smoothwall上也没开udp4000的端口，这是在外网卡抓的，就这样又down了。。。

西门飞

不好意思.\r\nad 一下行不？\r\nDDOS 防火墙\r\n \r\n\r\n型号 连接数 防御攻击类型 本站价格 技术支持 \r\n\r\nZXFIREWALL01(软件) 800 DOS/DDOS/SYN_Flood 1188元/套 安装/支持 \r\n\r\nZXFIREWALL02(软件) 无限 DOS/DDOS/SYN_Flood 2888元/套 安装/支持 \r\nZXFIREWALL2005(软件) 无限 DOS/DDOS/SYN_Flood 4188元/套 安装/支持

xuanren

朋友，现在暂时不考虑增添硬件，想搞清楚到底是什么问题。。。\r\n\r\n我初步怀疑两种可能：\r\n1。内部某内另外pc中了病毒或木马\r\n2。外部伪造源地址攻击。\r\n\r\n不知道大家怎么看，如果真是外部伪造源地址那就麻烦了。。。

xuanren

又来了,又不能对外提供web服务了 \r\n\r\n我用sitescope对软路由smoothwall实时监控,现在突然cpu占用率为100%,但内部映射web的端口80我还是能连上而且响应速度才0.70秒. \r\n\r\n尽管web不能提供服务,症状为网络响应速度抄慢,我想是因为资源耗尽造成的吧?以前能通过ssh,81在外部连上smoothwall,可现在却连不上了. \r\nsmoothwall的硬件是pII 350 64+128,以前跑bbiagent的时候即使在线人数再多,也不会响应如此慢甚至没有响应.... \r\n\r\n现在没法提供抓包的数据,但大家看看这种状态的话象不象DDOS或dos? \r\n\r\n一会就又好了,又不敢一直开着tcpdump,怕数据文件太大...\r\n\r\n靠...会不会是根据域名解析的攻击,但不可能smoothwall会cpu负载过大的呀?

free-le

我是只看不明白 不过顶一下 不会打我吧？