UC知道高手帮忙分析一下路由器系统日志,谢谢
来源:百度知道 编辑:UC知道 时间:2024/05/29 12:16:12
15 [Thu May 29 08:21:36 2008]: primary DNS address 61:139:2:69
16 [Thu May 29 08:21:36 2008]: secondary DNS address202:98:96:68
17 [Thu May 29 08:29:55 2008]: IP 192.168.18.3 TCP SYN Flooding
52 [Thu May 29 08:30:56 2008]: IP 192.168.18.3 TCP SYN Flooding
53 [Thu May 29 08:30:57 2008]: IP 192.168.18.3 TCP SYN Flooding
59 [Thu May 29 08:32:32 2008]: IP 58.55.40.75 Teardrop Attack
60 [Thu May 29 08:32:32 2008]: IP 58.55.40.75 Teardrop Attack
61 [Thu May 29 08:32:32 2008]: IP 58.55.40.75 Teardrop Attack
Attack
65 [Thu May 29 08:32:32 2008]: IP 222.191.163.37 Teardrop Attack
66 [Thu May 29 08:32:32 2008]: IP 58.55.40.75 Teardrop Attack
99 [Thu May 29 10:15:28 2008]: IP 192.168.18.3 TCP port scan
100 [Thu May 29 10:15:28 2008]: IP 192.168.18.3 TCP port scan
122 [Thu May 29 12:03:55 2008]: IP 222
楼主招黑客攻击了
[Thu May 29 08:21:36 2008]: primary DNS address 61:139:2:69
前面的是时间 不用我翻译了 5月29号 受到来自域名为 61:139:2:69
以下同 你招到了四种攻击
TCP SYN Flooding
Teardrop Attack
Land
port scan
具体解析如下
UDP(User Data Protocol,用户数据报协议)是与TCP相对应的协议。它是面向非连接的协议,它不与对方建立连接,而是直接就把数据包发送过去.
一般系统分为UDP端口和TCP端口
你问的就是UDP端口的扫描
land攻击
land 攻击是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。结果通常使存在漏洞的机器崩溃。
在Land攻击中,一个特别打造的SYN包中的原地址和目标地址都被设置成某一个服务器地址,这时将导致接受服务器向它自己的地址发送SYN一ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉。对Land攻击反应不同,许多UNIX实现将崩溃,而 Windows NT 会变的极其缓慢(大约持续五分钟)。
Teardrop attack即Teardrop攻击
Teardrop攻击是一种拒绝服务攻击。
攻击特征:Teardrop是基于UDP的病态分片数据包的攻击方法,其工作原理是向被攻击者发送多个分片的IP包(IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息),某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。(利用UDP包重组时重叠偏移(假设数据包中第二片IP包的偏移量小于第一片结束的位移,而且算上第二片IP包的Data,也未超过第一片的尾部,这就是重叠现象。)的漏洞对系统主机发动拒绝服务攻击,最终导致主机菪掉;对于Windows系统会导致蓝屏死机,并显示STOP 0x0000000A错误。)
检测方法:对接收到的分片数据包进