抱歉,评论被关闭
是否是ack攻击,会造成网络堵塞?
之前发现,数据库主(A服务器)传数据到从数据库(B服务器)要断传,记得有一次半夜编辑给电话说 问题,我回头看, 数据同步断丢一段时间,后来自动恢复。
开始以为是数据量大造成的,但是半夜数据量不可能很大,如果直接攻击的话,数据库挂掉,会是站点无法打开。后来可能是传输过程某环节出现问题。
也许所在服务器局域网出现传输堵塞。 首先就开始排除全局备份的服务器,因为它是和从数据在M交换机下的内,而主数据库与备份源 也属于N交换机下。
M,N交换机下服务器子网掩码和网关一样
就先关闭来排除情况!
通过几天测试,断传,还是会一天平均要出现过一次左右!
抓包来分析,发现从数据服务器,上 有大量 ack信号。
经过分析ack信号, 所确定的目标地址不是本服务器(姑且叫这个服务器为R和P 属于 L交换机下 ),
并且在其他网段的服务器上抓取,一样的会发现大量的R,P服务器的信号
抓出的数据,分析是R,P服务器都是做DNS轮询的一个web服务器
接着测试,从数据服务器和其他网段抓取另外一个WEB(K服务器),并未发现K 同R和P出现 的类似情况
过了一个周末来抓B网卡包居然一个都抓不到R、P的数据包了
结论:
两个交换机下的WEB服务器站点,存在互连,有回流数据
有人疯狂的刷流量。导致流过网卡接送数据异常多了。
这种刷流量,很容易误判为ack攻击呢
目前数据同步正常了 会是刷流量造成网络堵塞吗?
这个可能性也很低,因为交换机都是千兆的,即使A到B经过了,两层交换机,
另外一个问题两个三层交换机之间不是同一个牌子,一个华为一个是思科的,
会影响吗?
会是两个服务器的防火墙在做怪吗?或者是数据同步软件?
因为正常了,目前只能这样了!等时间验证哈,再做测试哈!嘿嘿!
syn/ack攻击:
SYN工作的原理就是利用两个互联网程序间协议握手的过程进行的攻击。协议握手的过程如下,其中一个应用程序向另一个程序发送一个TCP SYN(同步)数据包。然后目标程序向第一个程序发送一个TCP-ACK应答数据包作为回答;第一个程序最后用一个ACK应答数据包确认已经收到。一旦这两个程序握手成功,它们就准备一起运行了。 SYN攻击用一堆TCP SYN数据包来淹没它的受害者。每个SYN数据包迫使目标服务器产生一个SYN-ACK应答数据包然后等待对应的ACK应答。这很快就导致过量的SYN-ACK一个接一个的堆积在缓存队列里。当缓存队列满了以后,系统就会停止应答到来的SYN请求。如果SYN攻击中包括了拥有错误IP源地址的SYN数据包,情况很快就会变得更糟。在这种情况下,当SYN-ACK被送出的时候,ACK应答就永远不会被收到。飞快充满的缓存队列使得合法程序的SYN请求无法再通过。更加厉害的是,与之相似的Land攻击手段使用欺骗性的SYN数据包,它带有一个伪装的IP地址,使得它看起来像是来自你自己的网络。现在,SYN攻击就像是来自于你防火墙的内部,这使得问题更加严重。 大多数时新的操作系统和防火墙可以阻止SYN攻击。另一个简单的阻止SYN攻击的方法是阻塞掉所有带有已知的错误的IP源地址的数据包。这些数据包应该包括带有错误的为内部保留的IP地址的外部数据包
本文出自 “凹凸曼” 博客,请务必保留此出处http://www.apoyl.com/?p=1353