Ataque de negação de serviço com buffer

3

Comecei a ver esse tipo estranho de efeito que se assemelha ao ataque de negação de serviço contra um servidor Linux. O efeito é que a rede se torna pelo menos parcialmente inutilizável, muito parecida com o que você vê com um ataque tradicional de DOS ou DDOS.

Aqui está um netstat despejado aparado durante o "ataque" (supondo que seja o que é):

Proto Recv-Q Send-Q Local Address  Foreign Address       State       PID
tcp        1      0 1.2.3.1:80     50.128.251.184:1768   CLOSE_WAIT  18482/httpd         
tcp        0      1 1.2.3.4:80     71.75.22.31:52323     LAST_ACK    -                   
tcp        0  18980 1.2.3.4:80     98.180.31.210:60499   ESTABLISHED 18016/nginx: worker 
tcp        0  11709 1.2.3.4:80     98.180.31.210:60498   ESTABLISHED 18016/nginx: worker 
tcp        0  55743 1.2.3.4:80     71.75.22.31:52239     LAST_ACK    -                   
tcp        0      0 1.2.3.5:80     75.190.139.103:58265  ESTABLISHED 16808/httpd         
tcp        0  32814 1.2.3.4:80     71.75.22.31:52279     LAST_ACK    -                   
tcp        0  48029 1.2.3.4:80     71.75.22.31:52284     LAST_ACK    -                   
tcp        1  33581 1.2.3.4:80     71.75.22.31:52285     LAST_ACK    -                   
tcp        0  23582 1.2.3.4:80     71.75.22.31:52283     LAST_ACK    -                   
tcp        0    684 1.2.3.5:80     123.125.71.31:57865   FIN_WAIT1   -                   
tcp        0  37621 1.2.3.4:80     71.75.22.31:52218     LAST_ACK    -                   
tcp        0  18980 1.2.3.4:80     174.106.209.104:39937 ESTABLISHED 18016/nginx: worker 
tcp        0      0 1.2.3.1:80     95.140.125.125:60078  ESTABLISHED 18377/httpd         
tcp        0      0 1.2.3.2:39509  2.2.3.1:3306          ESTABLISHED 18379/httpd         
tcp        0    174 1.2.3.2:33029  2.2.3.1:3306          ESTABLISHED 18482/httpd         
tcp        0  44538 1.2.3.4:80     72.230.205.217:58271  FIN_WAIT1   -                   
tcp        0  64812 1.2.3.2:80     184.35.67.238:49173   ESTABLISHED 1251/httpd          
tcp        1      0 1.2.3.1:80     174.96.155.77:59167   CLOSE_WAIT  18379/httpd         
tcp        0      1 1.2.3.4:80     174.110.137.71:61496  FIN_WAIT1   -                   
tcp        1  31751 1.2.3.4:80     99.25.112.12:55747    CLOSING     -                   
tcp        0  33396 1.2.3.4:80     99.25.112.12:55764    ESTABLISHED 18016/nginx: worker 

Observe principalmente o alto uso do espaço do buffer Send-Q por conexões que são essencialmente fechadas ou parcialmente fechadas. Mantendo essas conexões abertas, parece que um invasor pode queimar a fila de envio permitida e interromper o tráfego. Isso não parece ser um ataque sofisticado, mas apenas alguns invasores aparentemente podem derrubar um servidor com tráfego mínimo.

Alguém reconhece esse padrão de ataque e sabe como combatê-lo?

    
por tylerl 19.04.2012 / 06:37

1 resposta

0

Parece um tipo de ataque de esgotamento de recursos. Precisaria de mais dados para dar uma resposta mais específica, mas você é capaz de obter capturas isoladas de pacotes do tráfego de ataque?

Não sabe ao certo o que você está protegendo, mas você precisa receber muitas conexões da Internet como um todo? Minha primeira tentativa de contra-atacar seria que você pode limitar quantas conexões estão sendo configuradas - para um limite razoável por (host / netrange / etc).

    
por 09.10.2013 / 04:11