如何检测内网SYN Flood?

如何检测内网SYN Flood?

我遇到了这个问题:每当我将 Linux 服务器插入内部网络时,整个网络就会变慢,然后死机。内部网络之间的每个 ping/ssh 连接都会超时。我拔掉它,然后一切都恢复正常。四处搜索后,我发现(请注意,这是我的假设,我可能错了)这可能是一个内部 SYN 洪水攻击,恶意软件以某种方式进入了罪魁祸首机器并对路由器进行了 SYN 洪水攻击。

我可以通过直接 GUI 登录到可疑机器。我应该启动哪个 Linux 命令来检查?

谢谢

答案1

在受影响网络上的任何防火墙上启用日志记录。在受影响的几台交换机和主机(例如测试 ping 的任一端)上启动数据包(和帧)捕获。将其重新插入足够长的时间以重现问题,然后再次将其移除。

解析帧和日志以了解发生了什么。ICMP 和 TCP 立即降级意味着可能会影响两者。例如,可能不会有太多半开 TCP 连接。

如果是广播风暴,很快就会出现无休止的广播或多播数据包。检查交换机之间的环路。

或者可能是奇怪的 TCP 或 UDP 流量。找出流量中的模式并查看。

答案2

我会清除整台机器并重新安装。机器上可能有恶意软件或 rootkit,您不能在您的网络中信任该设备。

另一种选择是将机器放在隔离的网络中并捕获流量并查看其发送的内容。

相关内容