xxx.xx.xxx.xxx机器上用netstat –n –p tcp命令查看,可以发现很多SYN_RECEIVED连接。
而且都是发生在80端口上,而且无法正常访问80端口上的服务。其他的网络连接、服务都是
正常的。正常情况下不应该出现大量SYN_RECEIVED状态的TCP连接。例外这些连接的来源地址
都是有一定的规律。根据经验可以确定是有恶意者对xxx.xx.xxx.xxx进行D.o.S(Denial of
Service)攻击。
执行netstat命令结果如下:
Active Connections
Proto Local Address Foreign Address State
TCP 127.0.0.1:1025 127.0.0.1:1033 ESTABLISHED
TCP 127.0.0.1:1033 127.0.0.1:1025 ESTABLISHED
TCP xxx.xx.xxx.xxx:80 1.129.155.213:56048 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 8.71.96.232:18544 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 17.95.29.168:33072 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 33.212.238.226:29024 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 33.250.131.21:46336 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 41.254.157.63:26688 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 44.6.143.72:14352 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 44.233.0.83:2368 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 46.172.194.36:60560 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 52.141.107.180:34048 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 58.92.189.37:59680 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 147.24.54.140:42160 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 150.41.8.196:50864 SYN_RECEIVED
........................
........................
TCP xxx.xx.xxx.xxx:80 157.176.98.17:49712 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 165.217.228.103:18416 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 171.191.13.61:64656 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 174.45.224.245:30896 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 181.118.121.182:23984 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 191.3.0.46:2864 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 196.235.126.62:57024 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 208.104.144.7:50912 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 209.232.143.50:57248 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 214.14.49.76:50496 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 223.71.101.172:62528 SYN_RECEIVED
........................
........................
攻击方式的分析:
通过对netstat命令结果的分析。可以知道这是利用TCP的脆弱性进行攻击的。简单说就是攻
击者伪造一个假的IP包,发送到目标攻击的机器,浪费目标机器上的TCP资源,从而是目标机
器无法为正常访问者提供服务的一种攻击。
现今很多Internt的服务都是建立在TCP连接上面的,包括Telnet ,WWW, Email。当一台机器
(我们称它为客户端)企图跟一个台提供服务的机器(我们称它为服务端)建立TCP连接时,
它们必须先按次序交换通讯好几次,这样TCP连接才能建立起来。
开始客户端会发送一个带SYN标记的包到服务端;
服务端收到这样带SYN标记的包后,会发送一个带SYN-ACK标记的包到客户端作为确认;
当客户端收到服务端带SYN-ACK标记的包后 ,会向服务端发送一个带ACK标记的包。
完成了这几个步骤(如下图),它们的TCP连接就建立起来了,可以进行数据通讯。
客户端 服务端
SYN →
← SYN-ACK
ACK →
攻击者就是利用TCP连接的建立需要这样的过程的特点,作为攻击的手段。
他们(攻击者)伪造一个IP包,其中里面包含一个SYN标记和假的源IP地址,发送到目标机器
(受攻击的机器)。
目标机器(受攻击的机器)收到攻击者发送过来的伪造的IP包,会尝试向IP包里面记录的源
IP地址发送一个带SYN-ACK标记的包到源IP地址的机器上。
由于攻击者发送过来的IP包里面包含的源IP地址为伪造的,所以目标机器(受攻击的机器)
根本无法成功发送带SYN-ACK标记的包到伪造的源IP地址的机器上。造成目标机器(受攻击的
机器)的等待,尝试再连接。
因为目标机器(受攻击的机器)的等待是需要占用系统一定的资源的。如果这样的连接到了
一定的数目,系统没有更多的资源来为新的连接作出响应,那么TCP连接就无法建立,换而言
之,就是无法提供正常的服务。
而这些等待的资源会在一定的时间(Time Out)后被释放。而Windows NT的默认设置第一次为
3秒的超时,尝试5次,每次尝试的超时时间为前一次的两倍。如下表:
花费时间(秒) 累计花费时间(秒)
第一次,失败 3 3
尝试第1次,失败 6 9
尝试第2次,失败 12 21
尝试第3次,失败 24 45
尝试第4次,失败 48 93
尝试第5次,失败 96 189
从上表,我们可以看到,如果是Windows NT默认的设置,那么一个这样攻击,将会把响应的
资源占用189秒,189秒后系统才会自动释放。如果这样的连接数目到了一定程度之后,系统
就无法提供正常的服务了。
而且都是发生在80端口上,而且无法正常访问80端口上的服务。其他的网络连接、服务都是
正常的。正常情况下不应该出现大量SYN_RECEIVED状态的TCP连接。例外这些连接的来源地址
都是有一定的规律。根据经验可以确定是有恶意者对xxx.xx.xxx.xxx进行D.o.S(Denial of
Service)攻击。
执行netstat命令结果如下:
Active Connections
Proto Local Address Foreign Address State
TCP 127.0.0.1:1025 127.0.0.1:1033 ESTABLISHED
TCP 127.0.0.1:1033 127.0.0.1:1025 ESTABLISHED
TCP xxx.xx.xxx.xxx:80 1.129.155.213:56048 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 8.71.96.232:18544 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 17.95.29.168:33072 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 33.212.238.226:29024 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 33.250.131.21:46336 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 41.254.157.63:26688 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 44.6.143.72:14352 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 44.233.0.83:2368 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 46.172.194.36:60560 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 52.141.107.180:34048 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 58.92.189.37:59680 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 147.24.54.140:42160 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 150.41.8.196:50864 SYN_RECEIVED
........................
........................
TCP xxx.xx.xxx.xxx:80 157.176.98.17:49712 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 165.217.228.103:18416 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 171.191.13.61:64656 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 174.45.224.245:30896 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 181.118.121.182:23984 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 191.3.0.46:2864 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 196.235.126.62:57024 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 208.104.144.7:50912 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 209.232.143.50:57248 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 214.14.49.76:50496 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 223.71.101.172:62528 SYN_RECEIVED
........................
........................
攻击方式的分析:
通过对netstat命令结果的分析。可以知道这是利用TCP的脆弱性进行攻击的。简单说就是攻
击者伪造一个假的IP包,发送到目标攻击的机器,浪费目标机器上的TCP资源,从而是目标机
器无法为正常访问者提供服务的一种攻击。
现今很多Internt的服务都是建立在TCP连接上面的,包括Telnet ,WWW, Email。当一台机器
(我们称它为客户端)企图跟一个台提供服务的机器(我们称它为服务端)建立TCP连接时,
它们必须先按次序交换通讯好几次,这样TCP连接才能建立起来。
开始客户端会发送一个带SYN标记的包到服务端;
服务端收到这样带SYN标记的包后,会发送一个带SYN-ACK标记的包到客户端作为确认;
当客户端收到服务端带SYN-ACK标记的包后 ,会向服务端发送一个带ACK标记的包。
完成了这几个步骤(如下图),它们的TCP连接就建立起来了,可以进行数据通讯。
客户端 服务端
SYN →
← SYN-ACK
ACK →
攻击者就是利用TCP连接的建立需要这样的过程的特点,作为攻击的手段。
他们(攻击者)伪造一个IP包,其中里面包含一个SYN标记和假的源IP地址,发送到目标机器
(受攻击的机器)。
目标机器(受攻击的机器)收到攻击者发送过来的伪造的IP包,会尝试向IP包里面记录的源
IP地址发送一个带SYN-ACK标记的包到源IP地址的机器上。
由于攻击者发送过来的IP包里面包含的源IP地址为伪造的,所以目标机器(受攻击的机器)
根本无法成功发送带SYN-ACK标记的包到伪造的源IP地址的机器上。造成目标机器(受攻击的
机器)的等待,尝试再连接。
因为目标机器(受攻击的机器)的等待是需要占用系统一定的资源的。如果这样的连接到了
一定的数目,系统没有更多的资源来为新的连接作出响应,那么TCP连接就无法建立,换而言
之,就是无法提供正常的服务。
而这些等待的资源会在一定的时间(Time Out)后被释放。而Windows NT的默认设置第一次为
3秒的超时,尝试5次,每次尝试的超时时间为前一次的两倍。如下表:
花费时间(秒) 累计花费时间(秒)
第一次,失败 3 3
尝试第1次,失败 6 9
尝试第2次,失败 12 21
尝试第3次,失败 24 45
尝试第4次,失败 48 93
尝试第5次,失败 96 189
从上表,我们可以看到,如果是Windows NT默认的设置,那么一个这样攻击,将会把响应的
资源占用189秒,189秒后系统才会自动释放。如果这样的连接数目到了一定程度之后,系统
就无法提供正常的服务了。