是否是ack攻击,会造成网络堵塞?

分类:Linux,问题集 | 作者:凹凸曼 | 发表于2012/06/05

之前发现,数据库主(A服务器)传数据到从数据库(B服务器)要断传,记得有一次半夜编辑给电话说 问题,我回头看, 数据同步断丢一段时间,后来自动恢复。

开始以为是数据量大造成的,但是半夜数据量不可能很大,如果直接攻击的话,数据库挂掉,会是站点无法打开。后来可能是传输过程某环节出现问题。

也许所在服务器局域网出现传输堵塞。 首先就开始排除全局备份的服务器,因为它是和从数据在M交换机下的内,而主数据库与备份源 也属于N交换机下。

M,N交换机下服务器子网掩码和网关一样

就先关闭来排除情况!

通过几天测试,断传,还是会一天平均要出现过一次左右!

 

抓包来分析,发现从数据服务器,上 有大量 ack信号。

经过分析ack信号, 所确定的目标地址不是本服务器(姑且叫这个服务器为R和P 属于 L交换机下 ),

并且在其他网段的服务器上抓取,一样的会发现大量的R,P服务器的信号

抓出的数据,分析是R,P服务器都是做DNS轮询的一个web服务器

 

接着测试,从数据服务器和其他网段抓取另外一个WEB(K服务器),并未发现K 同R和P出现 的类似情况

过了一个周末来抓B网卡包居然一个都抓不到R、P的数据包了

 

结论:

两个交换机下的WEB服务器站点,存在互连,有回流数据

有人疯狂的刷流量。导致流过网卡接送数据异常多了。

这种刷流量,很容易误判为ack攻击呢

目前数据同步正常了 会是刷流量造成网络堵塞吗?

这个可能性也很低,因为交换机都是千兆的,即使A到B经过了,两层交换机,

另外一个问题两个三层交换机之间不是同一个牌子,一个华为一个是思科的,

会影响吗?

会是两个服务器的防火墙在做怪吗?或者是数据同步软件?

 

因为正常了,目前只能这样了!等时间验证哈,再做测试哈!嘿嘿!

 

syn/ack攻击:
SYN工作的原理就是利用两个互联网程序间协议握手的过程进行的攻击。协议握手的过程如下,其中一个应用程序向另一个程序发送一个TCP SYN(同步)数据包。然后目标程序向第一个程序发送一个TCP-ACK应答数据包作为回答;第一个程序最后用一个ACK应答数据包确认已经收到。一旦这两个程序握手成功,它们就准备一起运行了。 SYN攻击用一堆TCP SYN数据包来淹没它的受害者。每个SYN数据包迫使目标服务器产生一个SYN-ACK应答数据包然后等待对应的ACK应答。这很快就导致过量的SYN-ACK一个接一个的堆积在缓存队列里。当缓存队列满了以后,系统就会停止应答到来的SYN请求。如果SYN攻击中包括了拥有错误IP源地址的SYN数据包,情况很快就会变得更糟。在这种情况下,当SYN-ACK被送出的时候,ACK应答就永远不会被收到。飞快充满的缓存队列使得合法程序的SYN请求无法再通过。更加厉害的是,与之相似的Land攻击手段使用欺骗性的SYN数据包,它带有一个伪装的IP地址,使得它看起来像是来自你自己的网络。现在,SYN攻击就像是来自于你防火墙的内部,这使得问题更加严重。 大多数时新的操作系统和防火墙可以阻止SYN攻击。另一个简单的阻止SYN攻击的方法是阻塞掉所有带有已知的错误的IP源地址的数据包。这些数据包应该包括带有错误的为内部保留的IP地址的外部数据包

本文出自 “凹凸曼” 博客,请务必保留此出处http://www.apoyl.com/?p=1353

 

Tag:

日志信息 »

该日志于2012-06-05 17:47由 凹凸曼 发表在Linux, 问题集分类下, 留言已关闭,但你可以将这个日志引用到你的网站或博客。

目前盖楼 (0)层:

抱歉,评论被关闭

« »