TCP Peer 在 dmesg 日志中意外收缩窗口消息

信息安全 网络 linux 拒绝服务
2021-09-08 04:37:34

我们在各种服务器上的 dmesg 日志中很少收到这样的消息:

TCP: Peer 0000:0000:0000:0000:0000:ffff:d431:5861:56369/80 unexpectedly shrunk window 2522304441:2522312601 (repaired)
TCP: Peer 192.162.164.1:33760/60908 unexpectedly shrunk window 3159965547:3159965552 (repaired)

有人告诉我,这些是对我们基础设施的拒绝服务攻击。如果您可以无限期地保持 TCP 连接打开,您可以占用系统资源并阻止合法客户端连接到您的服务器。

我如何才能真正确定这些是实际的 DOS 攻击还是危害较小的东西?

1个回答

这通常发生在客户端决定减小其 TCP 窗口大小而服务器不期望它时。当碎片成为问题时,或者客户端使用的嵌入式设备具有很少的 NIC 缓冲内存时,就会出现这种情况。这是完全正常的行为,您可能会在日志中看到很多这样的数据包。这些消息仅供参考,用于调试网络问题。

如果您看到数十万个这样的数据包,我会很担心,因为存在涉及数据包碎片和小窗口大小的攻击,但除​​此之外,这只是您应该期望在任何面向 Internet 的网络上看到的正常噪音。实际上,消息的“已修复”部分表明您的网络驱动程序已修复问题,这通常是通过将两个分段数据包的有效负载连接在一起来完成的。根本不应该是问题。

其它你可能感兴趣的问题
上一篇MySQL 服务器加固 下一篇黑客可以通过无线连接嗅探他人的网络数据吗?