我有一个位于边缘的 Cisco 3821 交换机,它有 4 个来自中国的连接,无法启动。
c3821:#sh 用户 ... 12 vty 11 空闲 1y40w cm-114-109-36-18.revip13.asianet.co.th 13 vty 12 空闲 1y40w cm-114-109-36-18.revip13.asianet.co.th 14 vty 13 空闲 1y40w cm-114-109-36-18.revip13.asianet.co.th 15 vty 14 空闲 1y40w cm-114-109-36-18.revip13.asianet.co.th 16 vty 15 空闲 1y40w cm-114-109-36-18.revip13.asianet.co.th
我尝试使用以下方法终止连接:
c3821#清除线路vty 12
[确认]y [确定]
c3821#sh 用户
线路 用户 主机 空闲 位置
...
12 vty 11 空闲 1y40w cm-114-109-36-18.revip13.asianet.co.th
13 vty 12 空闲 1y40w cm-114-109-36-18.revip13.asianet.co.th
14 vty 13 空闲 1y40w cm-114-109-36-18.revip13.asianet.co.th
15 vty 14 空闲 1y40w cm-114-109-36-18.revip13.asianet.co.th
16 vty 15 空闲 1y40w cm-114-109-36-18.revip13.asianet.co.th
我的问题:
- 这有什么可担心的吗?
- 我怎样才能真正摆脱这些连接(无需重新启动交换机)?
答案1
这看起来像 TCP 同步洪水攻击。
您需要找出 TCB 号码才能清除会话。
传输控制块 (TCB) 是一种传输协议数据结构(实际上是许多操作系统中的一组结构),它保存有关连接的所有信息。单个 TCB 的内存占用量取决于实现为连接提供和启用的 TCP 选项和其他功能。通常,每个 TCB 至少超过 280 字节,在某些操作系统中,目前占用超过 1300 字节。TCP SYN-RECEIVED 状态用于指示连接仅半打开,并且请求的合法性仍然存在疑问。需要注意的重要方面是,TCB 是根据 SYN 数据包的接收情况分配的 - 在连接完全建立或发起方的返回可达性得到验证之前。
来源及详情:防御 TCP SYN 洪水攻击。
要查找 TCB 编号,请使用:
show tcp brief
并清除会话:
clear tcp tcb tcb_number