我收到了一个异常签名的警报,异常高的SYN流量。流量来自黑洞DNS服务器。在此之前,我没有任何使用黑洞服务器的经验,所以我所知道的一切都来自维基百科:http://en.wikipedia.org/wiki/Blackhole_服务器
我的问题是:
为什么我们会看到来自黑洞DNS服务器的SYN流量?是否由于内部DNS服务器不适当地将通信量转发到野生状态而生成了tra工?
如果它与问题相关,那么这些服务器是如何在wiki文章之外工作的呢?
浏览 0提问于2015-05-29得票数 2
回答已采纳
1回答
当我在pc上启动服务器时,他正在监听任何ip和端口105。如果另一台计算机上的客户端想连接到我计算机中的服务器,他使用的是本地ip地址,如192.168.1.101。
如果客户端使用我的本地ip地址(192.168.1.101:105)发送请求,那么我的服务器将能够接收它吗?
浏览 2提问于2015-08-11得票数 0
回答已采纳
我在Fedora 14上运行389目录服务器。当我使用ldapsearch从本地主机连接到myserver.com:389时,它工作得很好。当我使用ldapsearch从网络上的另一台计算机连接到myserver.com:389,并且在服务器上运行iptables时,ldapsearch无法连接到服务器。当我在服务器上关闭iptable时,另一台计算机上的ldapsearch就会连接到服务器。
我的iptable文件如下:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m sta
浏览 0提问于2011-02-17得票数 0
2回答
DDOS攻击解释
、、、
我有一些关于ddos攻击和它是如何工作的问题,我真的需要一些很好的解释,因为我找不到任何好的参考资料可以帮助我。
问题:
PPS (每秒数据包)和MBPS之间的关系是什么?如果防火墙丢弃数据包,那么每秒500 k这样的大量pps是否会导致ddos?
ddos (如syn/udp洪流)能否仅通过iptables得到完全缓解,并且iptables能够处理任何类型的ddos,涉及其强度和速度,安装在被攻击的同一服务器上的iptables是否能够处理大量的pps,并在没有任何问题或影响性能的情况下丢弃它们?
对于syn洪水,大多数ppl建议使用syn cookie作为缓解syn洪水的完美解决方案,但不
浏览 0提问于2012-05-13得票数 0
1回答
我读到像nmap这样的端口扫描服务将进行"TCP扫描“。他们将尝试在所提供的范围内与每个端口建立TCP连接。但是,因为每个连接都将被记录下来,所以系统管理员很容易注意到有人扫描了他们的端口。因此,更隐秘的方法是"TCP扫描“。此方法将在从服务器接收"SYN + ACK“数据包后关闭连接,因此它可以确定哪些端口是打开的,但由于它没有完成连接,因此服务器不会将其记录在日志中。
"TCP扫描“的缺点是什么?我想一定有一些缺点,如果它只是简单地好于它肯定会是nmap上的默认选项,但是您需要使用-sS来启用它。它在某种程度上比TCP连接扫描效率低吗?
附加问题:实际上,服
浏览 0提问于2022-02-04得票数 1
回答已采纳
我遇到的许多资源都指出,全端口扫描(例如SYN扫描)的一个主要优点是,记录的风险较低。但是为什么呢?
在我看来,在SYN-扫描(SYN >> SYN/ACK >> RST)中交换的段序列似乎比完全TCP连接扫描(SYN >> SYN/ACK >> ACK)更可疑/异常。因为第一个SYN段已经显示了有关发件人的信息(例如。IP地址,假设没有欺骗或代理),我不明白为什么完全连接扫描比半开放扫描更危险。
浏览 0提问于2020-06-08得票数 3
回答已采纳
1回答
我在一本书中读到,nmap中的SYN扫描通常比TCP连接扫描快得多,因为它没有通过所有的三路握手连接。但是,当我在同一个目标上尝试这两种扫描时,TCP连接扫描需要2秒,而SYN扫描至少需要7分钟。
有人能告诉我这里出了什么问题吗?
浏览 0提问于2016-01-23得票数 1
回答已采纳
我的问题是:
1.)什么是推荐的"SYN代理服务器“来过滤虚假的SYN攻击,并且只将”握手“的有效连接转发到其背后的主机(需要保护)。我搜索了这个词,但是没有找到任何直接的点击/产品,最好是开源/免费的?
2.)如果没有“准备好的”Syn代理服务器,我如何构建自己的服务器(使用iptables)?
3.)是否推荐使用Syn代理服务器?有人有这方面的经验吗?(否则我可能会用同步饼干.)
浏览 0提问于2011-08-26得票数 1
回答已采纳
1回答
我的网站受到攻击了吗?
、、、、
我有一个网络服务器。我在调查为什么我的nginx不断崩溃。我注意到日志中还有其他一些问题。
注意:在日志报告中,我用example.com替换我的网站名称,用example2.com替换我的第二个域,用examplepc替换服务器pc。157.230.xx.xx是我的IP,上面有两个用xx掩盖的数字。也掩盖了我的Mac地址96:33:83:xx:xx:xx:xx:00:00:00:01:01:08。
我查过syslog了。
cat /var/log/syslog
syslog的启动方式如下
Jan 1 00:00:01 examplepc systemd[1]: man-db.service
浏览 0提问于2023-01-01得票数 1
我想扫描我的Windows 2003上的端口445,但是我的扫描器只有一个类型的ipv6地址,它是全局的而不是链接本地的。当我这样做的时候,我发现端口445是开着的。但是我使用命令netstat -an来确保端口445正在监听。最后,我发现这种令人困惑的现象:
当我在我的扫描器中设置一个链接本地数据集时,它将在扫描端口445中工作。
当我只在扫描器中设置一个全局地址时,它就不能工作了。
这意味着,如果具有链接本地地址的主机使用套接字将syn数据包发送到服务器2003中的端口445,它将收到一个ack数据包。但是,如果它有一个全局地址,它将接收一个rst数据包。因此,我无法用全局地址扫描服务器2
浏览 0提问于2012-11-13得票数 0
我已经转移了一个Wordpress网站从另一个服务器/主机。因此,我复制了所有文件和数据库,使其在新的服务器上工作。该网站运行良好的前端,所有的网页是可见的,因为我不知道错误。
但是每次我想在Wordpress管理面板中保存一个页面时,我都会在页面‘post.php’上得到一个错误:“指定的URL无法找到”。我试图禁用插件,并尝试使用以下行将php.ini添加到网站的根目录中:
memory_limit = 64M;
post.max_vars = 5000;
request.max_vars = 5000;
但不是这些东西让它起作用的。
我正在使用NGINX服务器,因此它不使用.htacce
浏览 0提问于2018-12-18得票数 0
1回答
端口80上带有nmap的Bug
、、、、
首先,感谢您抽出时间阅读以下内容:)。
我在一家公司工作,在那里我正在开发一个自动端口扫描工具,基本上,它每天扫描我公司公共if的一些端口,如果有什么奇怪的东西,它会发送电子邮件。
命令行:
nmap -p1-1024 -sS host
问题:我目前面临一个非常奇怪的问题,当我扫描我公司的ips (端口80打开)时,只要nmap扫描端口80 (即nmap发送一个SYN,然后接收一个SYN,因为端口80是打开的),它就会循环到扫描结束。我的意思是,nmap会像往常一样扫描所有其他端口,但是在扫描结束之前不会停止发送SYN到端口80。在tcpdump中,我们清楚地看到我们从服务器接收SYN。更多,
浏览 3提问于2014-06-20得票数 1
回答已采纳
在阅读nmap手册页时,我阅读了-sn选项:
The default host discovery done with -sn consists of an ICMP echo request,
TCP SYN to port 443, TCP ACK to port 80, and an ICMP timestamp request
by default.
我不太明白在端口80上执行TCP ACK的目的。由于目标服务器的TCP堆栈不会处理任何SYN,因此它只会丢弃接收到的ACK数据包,而不会向nmap提供任何信息。
例如,在我的专用服务器上,它通过ICMP回送回复ICMP回送请求,并由TCP
浏览 0提问于2014-12-01得票数 2
回答已采纳
1回答
我所面临的情况是,客户端通过telnet (或netcat)建立TCP连接,以便连接到linux服务器。然后服务器必须发送一个包含一些文本信息的横幅..。
在每个主机中,我都启动了Tcpdump来捕获流量。
首先,这两台机器进行了传统的TCP握手。然后,服务器发送一个包含朝客户端方向的横幅的推送包,并从客户端接收其中的ACK。
奇怪的是,客户端从未收到横幅(在telnet/nc中没有显示),在客户端启动的tcpdump没有捕获来自服务器的任何推送包,也没有从服务器方向捕获ACK。而服务器端的tcpdump捕获了所有数据包。
我做了几次,每次都没有改变,似乎不是tcpdump问题。
我想知道这是
浏览 0提问于2018-11-22得票数 0
1回答
阻止本地连接的网络请求拦截
、、、、
在我的Ubuntu10.04 web服务器上,我遇到了一个非常奇怪的问题,好像有东西在拦截我的网络请求。最重要的是,它阻止我执行本地连接,因此我的HTTP服务器无法连接到它的数据库。
所有本地连接都会挂起并最终超时。
$ curl -v localhost
* About to connect() to localhost port 80 (#0)
* Trying 127.0.0.1...
这对于我使用的任何端口都是正确的,对于wget这样的其他客户端也是如此,不管在该端口上是否有服务。
如果存在所请求的服务器,则远程请求将按预期工作。如果我提供的URL没有指向任何内容,那么它将解析为I
浏览 0提问于2013-05-25得票数 0
回答已采纳
3回答
重定向TCP连接
、、、
我有一个代理服务器(用java编写),在我的客户端和实际的视频服务器(用c++制作)之间运行。客户端发送的所有内容都通过此代理,然后被重定向到服务器。
它工作得很好,但我有一些问题,我认为如果我可以使这个代理服务器只侦听客户端的请求,然后以某种方式告诉服务器已经从客户端发出了一个请求,并且它应该直接创建与客户端的连接,这会更好。
基本上,在TCP级别上,我希望发生的事情是这样的:
1-每当客户端向我的代理发送SYN时,代理只会向真实服务器发送一条消息,告知客户端的ip和端口。
2-服务器随后会将相应的SYN-ACK发送到指定的客户端,从而在客户端和服务器之间创建直接连接。
然后,代理只是将初始
浏览 0提问于2010-06-05得票数 9
回答已采纳
在将应用程序复制到服务器时,我遇到了问题。该程序在我的测试机器(Mac )上运行良好,但是当我在服务器(Windows 2008)上部署它时,我会得到以下错误:
java.net.ConnectException:连接被拒绝
我确信我已经为出站连接正确地打开了端口。80端口对吗?
这里有一个代码片段,如果有帮助的话
try {
doc = Jsoup.connect("http://google.com").get();
} catch (IOException e) {
e.printStackTrace();
return;
}
Java不是
浏览 1提问于2013-01-09得票数 0
回答已采纳
2回答
我尝试了很多教程来创建一个用于发送电子邮件的应用程序,但是每个代码都会引发相同的错误:
javax.mail.MessagingException:无法连接到SMTP主机: smtp.gmail.com,端口: 587;嵌套异常是: java.net.NoRouteToHostException:无主机路由(主机不可达)
我使用Ubuntu 16.04和EclipseNeon.1a发行版(4.6.1)
这是我的密码:
import java.util.*;
import javax.mail.*;
import javax.mail.internet.*;
import javax.m
浏览 0提问于2017-05-09得票数 0
我使用nmap映射网络,使用以下命令进行扫描
nmap -v -sS --no-stylesheet -T3 -sU -sV -O -oX <filename.xml> 192.168.69.0/24
一些主人带着奇怪的结果回来了。Nmap估计,由于syn-ack的原因,这一数字有所上升。我认为这意味着tcp连接到某个端口,并完成了3路握手过程。但是,没有被列为已打开的端口。(但是有开放的筛选、过滤和关闭端口)。有人能解释一下我该怎么解释吗?协商到主机的tcp连接是否意味着必须至少打开一个端口?
扫描主机的XML输出如下:
<host starttime="14356
浏览 0提问于2015-07-06得票数 2
回答已采纳
1回答
形势:
1台服务器(Windows server 2022) (192.168.15.5)
1客户端(Windows 11) (192.168.5.5)
Unifi网络设置,其中两台机器都在不同的VLAN (子网)上
服务器上的
:
运行Winrm quickconfig
运行Enable-PSRemoting
运行Get-NetFirewallRule -Name 'WINRM*' | Get-NetFirewallAddressFilter | Set-NetFirewallAddressFilter -RemoteAddress Any (以确保其他子网能够连接)
客户机
浏览 0提问于2022-10-13得票数 0
回答已采纳
我正面临一个问题,在WIN 10机器的SYN,ACK的响应中没有发送RST,ACK。请参阅我下面的解释,了解我的系统中发生了什么。 我正在手持打印机设备上运行HTTP服务器。我从web浏览器向打印机发送POST/GET消息以更新固件。FW传输后,打印机将重新启动。但是运行在浏览器上的客户端应用程序不会知道这一点,并使用不同的源端口继续发送SYN请求。对此,在打印机启动后,SYN-ACK将被发送到来自不同端口的所有SYN数据包。 在WIN10情况下(仅使用chrome和Firefox),不会向这些SYN-ACK请求发送确认或RST-ACK数据包。而在WIN 7中,我们可以看到RST-ACK被发
浏览 38提问于2018-12-31得票数 0
3回答
我可以在我的家庭网络(端口22)上使用PuTTy控制服务器命令行。我还可以远程完成此操作(端口22)。现在的问题是,当我在学校,端口22被封锁在路由器上,所以我不能访问服务器时,我在那里。
我想知道是否有一种方法让PuTTy使用不同的端口(443,80等等),以便在我上学的时候控制我的服务器命令行。我是否能够让putty在学校使用端口443 (传出连接),然后连接到我家路由器上的端口22?
浏览 0提问于2013-09-04得票数 0
我是iptables的新手,我一直在尝试建立一个防火墙,目的是保护一个web服务器。下面的规则是我到目前为止所制定的规则,我想知道这些规则是否有意义--我是否遗漏了任何必要的规则?
除了端口80之外,我还需要为外部连接打开端口3306 (mysql)和22 (ssh)。
任何反馈都是非常感谢的!
#!/bin/sh
# Clear all existing rules.
iptables -F
# ACCEPT connections for loopback network connection, 127.0.0.1.
iptables -A INPUT -i lo -j ACCEPT
浏览 0提问于2010-06-01得票数 3
如何使用nmap在防火墙过滤其所有端口的系统上执行操作系统检测?
有办法绕过它吗?
我曾尝试过: syn扫描、圣诞节扫描、片段扫描、服务版本检测(-sV)和nmap nse脚本扫描。当我做扫描时,我得到的答复在所有情况下都是一样的。我不能提供确切的响应,但是它是这样的:“*host is up”“所有1000个端口都被过滤了*”。
浏览 0提问于2016-03-17得票数 3
为什么nmap -sT扫描会显示“过滤的端口”,而相同的nmap -sS扫描显示“关闭的端口”,原因是什么?我知道-sT是一个完整的TCP,它比-sS半开扫描更容易检测(和过滤)。但是为什么呢?
这两种类型的扫描都发送一个SYN数据包;这两种类型的扫描都应该返回一个SYN或RST。我看到的唯一不同是,半开扫描将发送一个RST,而不是完成连接握手。
另外,我运行了命令nmap -sT -P0,它告诉nmap不要首先发送ping (我认为它通常同时执行TCP ping和ICMP ping)。执行该命令将导致它使用“关闭的端口”进行响应,这与-sS扫描响应相同。这是因为-sT通常会因为点击而被阻塞吗
浏览 0提问于2013-02-20得票数 11
回答已采纳
我需要一种方法来忽略对我的服务器的连接请求(例如syn请求),该服务器使用perl套接字编程通过"listen()“函数进行侦听。
我意识到"listen()“监听套接字,并使用syn-ack模拟地响应syn请求。
对请求的syn-ack响应的延迟也是可计数的。
谢谢!
浏览 2提问于2015-07-09得票数 0
事情就是这样发生的:
客户端发送系统
服务器-发送icmp (不可达主机我还尝试添加代码=10 )等待100 ms发送syn-ack
客户端发送ack作为对syn的响应。
当无法到达的主机的icmp被发送时,客户端不是应该重置tcp握手吗?是否有任何方式通过发送某种ICMP来使客户端重置连接?
试验在直接连接的2台Ubunto机上进行。在wireshark中,我看到icmp在syn-ack之前就恢复了,并且连接没有重置。客户端将telnet (端口80)运行到服务器。在服务器中运行apache。我使用python来模拟synack之前的icmp。
谢谢
浏览 0提问于2012-08-06得票数 2
回答已采纳
抱歉-我对这些东西很陌生。我读到了
nmap-service-probes
将显示端口使用的服务。
nmap -sS
将发送一个隐形SYN,这也是能够确定一个端口是否打开。我的问题是,服务探针是否可以返回一个输出--这意味着在service扫描生成一个报告时有一个响应,该报告说端口没有响应,并且关闭了。当我浏览“2012互联网普查”的研究时,我问了这个问题,似乎有些端口没有用syn-ack返回服务探测回复。
浏览 0提问于2014-08-12得票数 0
回答已采纳
2回答
在我的日志中,我经常看到这样掉下来的ips:
> Oct 30 17:32:24 IPTables Dropped: IN=eth0 OUT=
> MAC=04:01:2b:bd:b0:01:4c:96:14:ff:df:f0:08:00 SRC=62.210.94.116
> DST=128.199.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=45212
> PROTO=TCP SPT=51266 DPT=5900 WINDOW=1024 RES=0x00 SYN URGP=0
>
> Oct 30 17:2
浏览 0提问于2014-10-30得票数 5
回答已采纳
2回答
要使我的ipTables运行得相当好,需要花费大量的时间和挖掘。
当前状态:“Works”w/ SSH连接上明显的、可重复的(几乎不可接受的)延迟。一旦ipTables被禁用,这个延迟就会消失。请帮帮忙,我怎样才能摆脱长串的潜在攻击,同时还能拿回我的快速ssh?
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
#DROP fragments (from a *different* tutorial, do I need this?)
-A INPUT -f -j DROP
#DROP NEW NOT SYN
-A INPUT -p tc
浏览 0提问于2011-01-29得票数 3
回答已采纳
我在Windows下编写了一个HTTP小型服务器。使用通常的HTTP auth机制(我使用Windows )保护对服务器的访问。但是我不想使用本地主机,即本地用户应该能够在没有密码的情况下访问服务器。
问题是:这是拯救吗?更准确地说,信任TCP连接的远程地址安全吗?
假设有一个对手(Charly)试图向我的服务器发送一个恶意的HTTP。此外,假设所有Windows/路由器防火墙入口检查都允许源地址为127.0.0.1和:1通过本地主机地址。
因此,远程地址可能被欺骗,但对于TCP连接,我们需要一个完整的三路握手。因此,SYN是由Windows在接收到SYN时发送的.这个SYN没有出路,但是查莉
浏览 0提问于2013-09-17得票数 1
我在MamP3.2x上本地开发了一个Joomla网站,就在昨天,我把它迁移到了客户机服务器上。它正在使用Apache2.2.xx(标准CentOS包)运行CentOS 6.5。我已经安装了php5.5和php5.5-fpm,以及MySQL等。
这个网站运行得非常好,除了一个小问题,我把它缩小到了"Onclick“这个词。
如果任何文章、模块或内容中包含"onclick“一词,只要单击Save、Save、Cancel等,我就会得到服务器删除的连接错误。
奇怪的是,如果它的“单循环”或"Onclik“或任何其他变体,那么它就好。但不知为何,"onclick“却导致了
浏览 2提问于2015-03-13得票数 0
回答已采纳
1回答
我是使用地图的初学者,我在nmap主页上阅读参考指南。当我阅读带有-P*选项的主机发现时,我突然对此产生了疑问。
nmap中有-PS选项,它将syn数据包发送到服务器,以确定服务器是否打开。如果nmap在三次握手中获得ACK/SYN数据包,那么它就意味着服务器被打开。如果nmap获得RST,则意味着服务器被关闭。如果出现超时,则服务器和用户计算机之间存在防火墙。
Nmap主页指南书,帮助他们给-PA选项提供更多的改变绕过防火墙。我想,如果我们发送ACK数据包而不是SYN,那么服务器将发送RST数据包,以便在这两种情况下进行响应。服务器是否打开。如果超时发生,那么我们可以确定防火墙是否存在。因此
浏览 1提问于2017-01-15得票数 0
回答已采纳
2回答
我对我的服务器表单进行了扫描从外部和内部,为什么结果是不同的?
[root@xxx ~]# nmap -sV -p 0-65535 localhost
Starting Nmap 5.51 ( http://nmap.org ) at 2011-02-16 07:59 MSK
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000015s latency).
rDNS record for 127.0.0.1: localhost.localdomain
Not shown: 65534 closed ports
PORT
浏览 0提问于2011-02-16得票数 1
我目前正在开发一个TCP/IP协议栈;我在Linux下运行,我使用libnet (用于传输)和libpcap (用于捕获以太网帧)来模拟链路层。
我已经开始研究TCP,更具体地说是主动打开连接。基本上,我发送一个SYN数据包,远程主机以SYN-ACK响应,我必须通过ACK确认。问题是在我收到SYN-ACK之后,一个RST包立即被发送到服务器,可能是由内核发送的,而不是由我自己的程序发送的。我认为由libpcap捕获并由我的网络堆栈分析的数据包也被内核捕获,内核不理解为什么他从从未尝试连接的主机收到SYN-ACK数据包,并因此发送RST来取消连接。
所以基本上,连接在还没有建立的时候就被重置了,
浏览 2提问于2013-07-10得票数 1
我编写了一个网络发现代码来发现network.The代码上的设备,即使禁用了icmp回波响应,也应该发现网络上的设备。我从nmap中读到关于tcp ping的内容,它发送TCP SYN数据包,并创建到远程设备的半开放连接,以检查它是否可发现.In。我使用了来自windows套接字库的连接函数,通过在端口80上建立套接字连接来检查主机是否能够发现。
我在运行windows 7的一台测试机器上禁用了ping,方法是按照链接检查机器是否能够发现,但令人惊讶的是,套接字连接也失败了,连接被拒绝。但是,nmap可以通过TCP选项(通过默认端口80 )发现设备。
所以我的问题是:
两者到底有什么区别?
在
浏览 0提问于2013-08-07得票数 2
回答已采纳
2回答
我和我的朋友可以访问一个私人环境,我们使用Nmap扫描一个域和一个www。
我得到以下结果:
======================================================================
INCORRECT SCANNING
======================================================================
nmap -sS -v www.site.com.br
Starting Nmap 7.31 ( https://nmap.or
浏览 0提问于2017-01-03得票数 1
5回答
我最近有一个服务器停机。我到处都找过了,我在日志文件中唯一找到的就是:
Feb 17 18:58:04 localhost kernel: possible SYN flooding on port 80. Sending cookies.
Feb 17 18:59:33 localhost kernel: possible SYN flooding on port 80. Sending cookies.
谁能给我更多关于这件事的信息。WHat就是它,我如何调试原因和如何修复相同的原因。我还发布了天涯突然变得太大了,这是我发现的另一个不寻常的数据点,我想知道这两件事是否是连接在一起的,因为它
浏览 0提问于2011-02-17得票数 4
我已经在Ubuntu14.04.3LTS (3.13.0-71-generic x86_64)上运行的OpenSSL 1.0.2e上编译了nginx 1.9.7。我可以用浏览器连接到它,一点问题都没有,而且连接安全。
我也有一个客户谁是运行一些Windows服务器,并试图连接到使用WCF。他们报告他们无法连接到我的服务。
我的nginx错误日志显示:
2015/12/09 17:38:27 [info] 10750#0: *6494 recv() failed (104: Connection reset by peer) while SSL handshaking, client: {RED
浏览 0提问于2015-12-10得票数 1
2回答
我正在尝试从嵌入式控制器到Windows服务器创建TCP连接。我正在编写应用程序的Windows服务器部分。
当控制器试图连接时,可能需要多次尝试来建立连接。我已经使用Wireshark来调试这个问题,而且Windows堆栈似乎没有遵循正确的握手协议。
Wireshark垃圾场:
"No","Time","Source","Destination","Protocol","Info"
Try1:
"39","9.025322","10.0.0.252"
浏览 6提问于2010-10-27得票数 3
回答已采纳
我工作的web服务可能是拒绝服务攻击的目标。我们已经对"SYN洪水“式攻击采取了一些缓解措施。但是还有其他针对我们服务的“应用程序级”攻击,恶意/崩溃的客户端可以反复指示web服务执行昂贵的任务。
我们可以在应用层,即在服务器进程中识别这些滥用的客户端。一旦我们的流程确定了一个滥用的客户端连接,我们希望减少我们对该客户端的服务水平。
一种天真的方法是终止与close(2)、shutdown(2)或类似的TCP连接。但是,客户端可以立即重新连接(直到设置为减少SYN洪流的连接/秒限制),由于TLS握手和其他连接设置成本,这种重新连接对我们来说是昂贵的。我们正在寻找一种方法来阻止客户端与我
浏览 0提问于2018-02-27得票数 1
我正在本地网络中运行一个MySQL服务器。多个客户端应用程序(也附加到同一网络)使用MySQL cppconn连接器与此服务器通信。我想模拟服务器的物理断开,并监视客户端的响应。
服务器正在运行Fedora 20,配备了Firewalld和防火墙-cmd命令行配置实用程序。
最简单的方法是将防火墙的活动区域更改为drop。
firewall-cmd --set-default-zone=drop
这将导致TCP SYN被静默删除,而客户端则等待超时。但是,如果客户端已经连接,那么它将继续通信.。
我正在寻找一个防火墙-cmd示例,它将悄悄地删除任何活动连接,以及任何新的TCP SYN。因此,真
浏览 5提问于2015-08-28得票数 0
1回答
如果你丢包,扫描器知道吗?
、、、、
我知道REJECT和DROP链是如何工作的。但是,当我在这里读到使用iptable时拒绝与删除时,用户Dagelf说服务器仍然使用TCP SYN/ACK进行应答。
当防火墙使用DROP时,扫描器是否知道丢包?
浏览 0提问于2014-04-16得票数 3
回答已采纳
我正在读一本信息安全书,我面临的问题是:
为什么nmap隐身扫描(SYN)比简单的连接扫描(TCP connect())吸引更多的注意力?
为什么会是?
浏览 0提问于2015-02-23得票数 5
回答已采纳
我在Nmap的网站上读过关于主机发现的文章,但我仍然对它的实际情况和所做的事情感到困惑。
我对IP地址做了一个syn扫描,然后在没有主机发现的情况下进行了syn扫描。常规系统扫描返回干净,而无主机发现模式返回一个开放端口。
我理解"syn“部分,但是我的扫描正在执行的”主机发现“部分是什么?
浏览 0提问于2016-04-12得票数 1
4回答
我对SYN扫描和关闭端口的情况感到困惑(打开端口的情况很有意义)。因此,攻击者发送一个~40字节的SYN数据包,一个“关闭端口”将一个RST数据包送回给攻击者,因此是“不可利用的”。这是否意味着攻击者无法将另一个SYN数据包发送到关闭的端口以继续尝试淹没它?或者这仅仅意味着这个端口不能被其他方式利用,但是可以发送另一个SYN数据包,并且攻击者可以永远继续这个进程吗?
浏览 0提问于2013-04-07得票数 1
我正在尝试从Jenkins (docker容器)连接到运行Cygwin sshd的windows服务器(VM)。我面临的问题是,(似乎)我可以或不能随意连接。这是与'SSH插件‘(用户名/密码)和通过外壳SSH命令(密钥对)。
从Jenkins的调试信息告诉我:
debug1: connect to address [serverIP] port 22: Connection refused
当不工作时,sshd日志告诉我:
debug1: fd 4 clearing O_NONBLOCK
debug1: Forked child 1128.
debug3: send_rexec_st
浏览 2提问于2017-11-28得票数 1
1回答
我有一些代码可以建立到服务器的连接。有一段时间,我的代码运行正常,一切都很好。
但是,在尝试连接到外部时,我的应用程序会发送一个SYN标志,获得一个SYN/ACK,然后开始发送一个终止连接的FIN标志!
这是使用FreeBSD 9。我检查了所有的限制,据我所知,我没有超过任何打开的套接字限制或任何东西,如果发生这种情况,我甚至不会退出要打开的套接字来发送SYN标志。
我还能做些什么来调试这个?在一个出站连接发生这种情况后,所有这些连接都会发生这种情况,所以我认为这一定是某种系统问题。
浏览 3提问于2013-01-08得票数 1
我有两台服务器,我使用自己的嵌入式系统与LwIP连接到这些服务器。
我使用LwIP的嵌入式系统是客户端,我有server1和server2。我连接到server1,并在连接到server2之前结束连接。
关于流量的进一步细分:
客户端使用server1创建新套接字
客户端发送DNS数据包以获取服务器1‘S ip地址;从AP接收ACK
客户端发送TCP SYN数据包;
Server1发送TCP SYN-ACK并执行一些数据传输。
客户端通过发送TCP RST数据包结束与server1的连接,并关闭套接字。
客户端使用server2创建新套接字
客户端发送DNS数据包以获得服务器2‘S ip地址;
浏览 0提问于2022-04-02得票数 0
我们的一些用户正在互联网服务器上启动端口扫描。这些用户使用ssh和openvpn连接到我们的服务器。我们显然在适当的情况下暂停他们的帐户,但是我想找到一个技术解决方案,要么阻止扫描,要么阻止他们(例如,减慢扫描速度)。
我想出的最佳解决方案是(针对SYN扫描的):
# Log suspected port scanners
iptables -A Limit_Pscan -p tcp --syn -m state --state NEW -m recent --name port_scan --rcheck --seconds 10 --hitcount 30 -j LOG --log-pr
浏览 0提问于2013-04-09得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
