posso filtrar pacotes TCP SYN com seq = 0

1

Meus servidores parecem ser alvo de um ataque de inundação por SYN. Entre 50-600MBit / s, IPs falsificados.

Os pacotes são assim:

IP p.q.r.s.1234 > my.ser.vers.ip.80: Flags [S], seq 0, win 5840, length 0

com p.q.r.s aparentemente aleatório. (sim, a porta de origem é sempre 1234)

Embora isso não seja suficiente para preencher o meu link, as respostas também desempenham o seu papel e as máquinas ficam muito lentas.

É razoável descartar TCP SYNs com seq = 0?

    
por afflux 09.06.2013 / 16:29

1 resposta

3

Claro, você pode soltar TCP SYNs com seq = 0, você só terá uma chance de 1/4294967296 (mais ou menos) ou perderá uma conexão real .... MAS :

O número de sequência real do TCP provavelmente não é 0!

Eu não sei qual ferramenta você está usando (o formato de saída parece não coincidir com tcpdump ou tshark / Wireshark) mas ambos tcpdump e Wireshark realmente lembram o estado dos fluxos TCP e subtraem o número de sequência inicial do valor exibido nos campos seq e ack , de modo que 0 significa "qualquer que seja o ISN".

Observe esta opção na% man_de% manpage:

   -S     Print absolute, rather than relative, TCP sequence numbers.
    
por 10.06.2013 / 02:39

Tags