UC知道网速很慢,查了下路由器的日志.请帮忙看下
来源:百度知道 编辑:UC知道 时间:2024/06/04 02:08:18
17 [Sun May 10 16:04:58 2009]: remote IP address 60:25:180:1
18 [Sun May 10 19:00:58 2009]: IP 58.251.62.22 Teardrop Attack
19 [Sun May 10 19:01:03 2009]: IP 58.251.62.22 Teardrop Attack
20 [Sun May 10 19:01:09 2009]: IP 58.251.62.22 Teardrop Attack
21 [Mon May 11 00:20:42 2009]: IP 60.25.180.84 Land
22 [Mon May 11 00:20:43 2009]: IP 60.25.180.84 Land
46 [Mon May 11 00:22:58 2009]: IP 60.25.180.84 Land
47 [Mon May 11 00:49:41 2009]: IP 58.251.62.22 Teardrop Attack
48 [Mon May 11 00:49:45 2009]: IP 58.251.62.22 Teardrop Attack
49 [Mon May 11 00:49:54 2009]: IP 58.251.62.22 Teardrop Attack
50 [Mon May 11 01:13:08 2009]: IP 192.168.0.7 TCP SYN Flooding
51 [Mon May 11 01:13:08 2009]: IP 192.168.0.7 TCP SYN Flooding
52 [Mon May 11 01:13:08 2009]: IP 192.168.0.7 TCP SYN Flooding
53 [Mon May 11 01:13:08 2009]: IP 192.168.0
从你的日志来看你受到了来自两个地方的两种攻击
首先是来自 IP 58.251.62.22 的 Teardrop Attack
其次是来自 IP 192.168.0.7 的 TCP SYN Flooding
Teardrop attack
Teardrop attack即Teardrop攻击
Teardrop攻击是一种拒绝服务攻击。
攻击特征:Teardrop是基于UDP的病态分片数据包的攻击方法,其工作原理是向被攻击者发送多个分片的IP包(IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息),某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。(利用UDP包重组时重叠偏移(假设数据包中第二片IP包的偏移量小于第一片结束的位移,而且算上第二片IP包的 Data,也未超过第一片的尾部,这就是重叠现象。)的漏洞对系统主机发动拒绝服务攻击,最终导致主机菪掉;对于Windows系统会导致蓝屏死机,并显示STOP 0x0000000A错误。)
检测方法:对接收到的分片数据包进行分析,计算数据包的片偏移量(Offset)是否有误。
反攻击方法:添加系统补丁程序,丢弃收到的病态分片数据包并对这种攻击进行审计。
TCP SYN Flooding
Synflood:该攻击以多个随机的源主机地址向目的路由器发送SYN包,而在收到目的路由器的SYN ACK后并不回应,这样,目的路由器就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务,甚至导致路由器崩溃.服务器要等待超时(Time Out)才能断开已分配的资源。
防范措施:
设置HALF-TCP连接的最大个数,超过这个MAX后随机关闭已建立的HALF-TCP连接或者丢弃新来的SYN信息.
关闭TCP服务.
攻击者使用无效的ip地址,利用tcp连接的三次握手过程,使得受害主机处于开放会话的请求之中,直至连接超时。在此期间,受害主机还会连续接受这种会话请求,最终因耗尽资源而停止响应。