3 votos

Ataque de denegación de servicio de relleno de búfer

Empecé a ver este extraño tipo de efecto que se asemeja a la de denegación de servicio ataque contra un servidor Linux. El efecto es que la red se convierte, al menos parcialmente inutilizable muy mucho lo mismo que ver con los tradicionales de un ataque DOS o DDOS.

Aquí está una recortada netstat de volcado de durante el "ataque" (suponiendo que es lo que es):

Proto Recv-Q Send-Q Local Address  Foreign Address       State       PID
tcp        1      0 1.2.3.1:80     50.128.251.184:1768   CLOSE_WAIT  18482/httpd         
tcp        0      1 1.2.3.4:80     71.75.22.31:52323     LAST_ACK    -                   
tcp        0  18980 1.2.3.4:80     98.180.31.210:60499   ESTABLISHED 18016/nginx: worker 
tcp        0  11709 1.2.3.4:80     98.180.31.210:60498   ESTABLISHED 18016/nginx: worker 
tcp        0  55743 1.2.3.4:80     71.75.22.31:52239     LAST_ACK    -                   
tcp        0      0 1.2.3.5:80     75.190.139.103:58265  ESTABLISHED 16808/httpd         
tcp        0  32814 1.2.3.4:80     71.75.22.31:52279     LAST_ACK    -                   
tcp        0  48029 1.2.3.4:80     71.75.22.31:52284     LAST_ACK    -                   
tcp        1  33581 1.2.3.4:80     71.75.22.31:52285     LAST_ACK    -                   
tcp        0  23582 1.2.3.4:80     71.75.22.31:52283     LAST_ACK    -                   
tcp        0    684 1.2.3.5:80     123.125.71.31:57865   FIN_WAIT1   -                   
tcp        0  37621 1.2.3.4:80     71.75.22.31:52218     LAST_ACK    -                   
tcp        0  18980 1.2.3.4:80     174.106.209.104:39937 ESTABLISHED 18016/nginx: worker 
tcp        0      0 1.2.3.1:80     95.140.125.125:60078  ESTABLISHED 18377/httpd         
tcp        0      0 1.2.3.2:39509  2.2.3.1:3306          ESTABLISHED 18379/httpd         
tcp        0    174 1.2.3.2:33029  2.2.3.1:3306          ESTABLISHED 18482/httpd         
tcp        0  44538 1.2.3.4:80     72.230.205.217:58271  FIN_WAIT1   -                   
tcp        0  64812 1.2.3.2:80     184.35.67.238:49173   ESTABLISHED 1251/httpd          
tcp        1      0 1.2.3.1:80     174.96.155.77:59167   CLOSE_WAIT  18379/httpd         
tcp        0      1 1.2.3.4:80     174.110.137.71:61496  FIN_WAIT1   -                   
tcp        1  31751 1.2.3.4:80     99.25.112.12:55747    CLOSING     -                   
tcp        0  33396 1.2.3.4:80     99.25.112.12:55764    ESTABLISHED 18016/nginx: worker 

Aviso principalmente el alto uso de Send-Q espacio de búfer por las conexiones que son esencialmente cerrado o parcialmente cerrado. Al mantener estas conexiones abiertas, parece que un atacante puede quemar a pesar de que la capacidad de la cola de envío y traer tráfico en gran medida a un alto. Esto no parece ser un sofisticado ataque, pero apenas un par de atacantes al parecer, se puede derribar a un servidor con un tráfico mínimo.

¿Alguien reconoce esta patrones de ataque y saber cómo luchar contra ella?

0voto

pacifist Puntos 123

Parece una especie de ataque de agotamiento de recursos. ¿Necesitaría más datos para dar una respuesta más específica pero son capaces de obtener paquetes aislados captura del tráfico de ataque?

No estoy seguro lo que está protegiendo pero necesita recibir muchas conexiones de internet en general? Mi primer intento en contra sería que pueda limitar Cuántas conexiones está siendo configuración - a un umbral razonable por (host/netrange/etcetera).

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: