是否是ack攻击，会造成网络堵塞？

之前发现，数据库主(A服务器)传数据到从数据库（B服务器）要断传，记得有一次半夜编辑给电话说 问题，我回头看， 数据同步断丢一段时间，后来自动恢复。

开始以为是数据量大造成的，但是半夜数据量不可能很大，如果直接攻击的话，数据库挂掉，会是站点无法打开。后来可能是传输过程某环节出现问题。

也许所在服务器局域网出现传输堵塞。 首先就开始排除全局备份的服务器，因为它是和从数据在M交换机下的内，而主数据库与备份源 也属于N交换机下。

M,N交换机下服务器子网掩码和网关一样

就先关闭来排除情况！

通过几天测试，断传，还是会一天平均要出现过一次左右！

抓包来分析，发现从数据服务器，上 有大量 ack信号。

经过分析ack信号， 所确定的目标地址不是本服务器（姑且叫这个服务器为R和P 属于 L交换机下 ），

并且在其他网段的服务器上抓取，一样的会发现大量的R,P服务器的信号

抓出的数据，分析是R,P服务器都是做DNS轮询的一个web服务器

接着测试，从数据服务器和其他网段抓取另外一个WEB（K服务器），并未发现K 同R和P出现 的类似情况

过了一个周末来抓B网卡包居然一个都抓不到R、P的数据包了

结论：

两个交换机下的WEB服务器站点，存在互连，有回流数据

有人疯狂的刷流量。导致流过网卡接送数据异常多了。

这种刷流量，很容易误判为ack攻击呢

目前数据同步正常了 会是刷流量造成网络堵塞吗？

这个可能性也很低，因为交换机都是千兆的，即使A到B经过了，两层交换机，

另外一个问题两个三层交换机之间不是同一个牌子，一个华为一个是思科的，

会影响吗？

会是两个服务器的防火墙在做怪吗？或者是数据同步软件？

因为正常了，目前只能这样了！等时间验证哈，再做测试哈！嘿嘿！

syn/ack攻击：
SYN工作的原理就是利用两个互联网程序间协议握手的过程进行的攻击。协议握手的过程如下，其中一个应用程序向另一个程序发送一个TCP SYN(同步)数据包。然后目标程序向第一个程序发送一个TCP-ACK应答数据包作为回答;第一个程序最后用一个ACK应答数据包确认已经收到。一旦这两个程序握手成功，它们就准备一起运行了。 SYN攻击用一堆TCP SYN数据包来淹没它的受害者。每个SYN数据包迫使目标服务器产生一个SYN-ACK应答数据包然后等待对应的ACK应答。这很快就导致过量的SYN-ACK一个接一个的堆积在缓存队列里。当缓存队列满了以后，系统就会停止应答到来的SYN请求。如果SYN攻击中包括了拥有错误IP源地址的SYN数据包，情况很快就会变得更糟。在这种情况下，当SYN-ACK被送出的时候，ACK应答就永远不会被收到。飞快充满的缓存队列使得合法程序的SYN请求无法再通过。更加厉害的是，与之相似的Land攻击手段使用欺骗性的SYN数据包，它带有一个伪装的IP地址，使得它看起来像是来自你自己的网络。现在，SYN攻击就像是来自于你防火墙的内部，这使得问题更加严重。 大多数时新的操作系统和防火墙可以阻止SYN攻击。另一个简单的阻止SYN攻击的方法是阻塞掉所有带有已知的错误的IP源地址的数据包。这些数据包应该包括带有错误的为内部保留的IP地址的外部数据包

本文出自 “凹凸曼” 博客，请务必保留此出处http://www.apoyl.com/?p=1353