多年来,我一直通过康卡斯特路由器在端口 443 上托管一个简单的 Ubuntu 网络服务器,并启用了端口转发,没有任何问题。 我现在必须换到 AT&T,他们提供的路由器是 BGW320,它也有我在 443 上启用的端口转发。 通过 Comcast 路由器从外部访问时,Web 服务器仍能正常工作。切换到 BGW320 后,Web 服务器将无法再访问。 当连接到 BGW320 时,我可以通过tcpdump简单的外部端口扫描确认服务器接收到了 TCP [SYN] 数据包,但是 Apache 从未发出 [SYN,ACK] 响应。 我尝试过但没有奏效的方法包括...
nft我在配置 443/TCP 以抵御洪水攻击时遇到了困难。 我放弃了iptables模块recent,现在我正在nft使用它的手册页示例代码进行测试,作为实验室。 因此,我将所有带有syn标记的源 IP 和sport 443每秒发生次数超过 300 次的 IP 发送到动态集,持续 15 分钟。同时,我正在使用 检查入站 IP tcpdump,但集合中包含的 IP 未显示tcpdump! “拒绝列表”集合的定义如下: $ sudo nft add rule ip filter INPUT ip protocol tcp tcp flags syn tcp d...
我有一台 Ubuntu 18 服务器,用作 VPN 服务器 (V2RAY)。我的 VPS 提供商 (OVH) 向我发送了此滥用报告: 2022.10.22 12:40:47 CEST 51.91.11.***:53258 8.8.8.8:443 TCP SYN 60 ATTACK:TCP_SYN 2022.10.22 12:40:47 CEST 51.91.11.***:43752 157.240.21.63:443 TCP SYN 60 ATTACK:TCP_SYN 2022.10.22 12:40:47 CEST 51.91.11.***:49242 1...
我已经多次处理过这个问题,每次处理时都无法找到解决方案。我搜索过这些论坛、我的防火墙论坛,并与一些防火墙管理员合作,以及与制造商支持人员合作。我有许多 Reolink E1 Zoom 摄像头,它们在本地(site1)和远程(site2)都具有 FTP 功能。这些摄像头不支持 SFTP。在与防火墙论坛上的人员合作时,防火墙似乎没有阻止任何东西,因为所有规则都是正确的,我们可以看到到服务器的流量。 我有一个本地托管的 FTP 服务器(Windows Server 2016),我想将所有摄像机 FTP 文件发送到位于我的 pfSense 防火墙后面的服务器。 我...
我遇到了这个问题:每当我将 Linux 服务器插入内部网络时,整个网络就会变慢,然后死机。内部网络之间的每个 ping/ssh 连接都会超时。我拔掉它,然后一切都恢复正常。四处搜索后,我发现(请注意,这是我的假设,我可能错了)这可能是一个内部 SYN 洪水攻击,恶意软件以某种方式进入了罪魁祸首机器并对路由器进行了 SYN 洪水攻击。 我可以通过直接 GUI 登录到可疑机器。我应该启动哪个 Linux 命令来检查? 谢谢 ...
有人能帮我更好地理解这里发生了什么吗?我一直收到“管道损坏”错误,提示对等方正在重置连接。另外,我以为 192.168.114.30 是客户端,但从我的阅读来看,握手中的原始 SYN 应该来自服务器(RST、ACK 也是如此)。如果这是一个显而易见的答案,我很抱歉。我已尝试进行尽可能多的研究。任何帮助都将不胜感激。 这是垃圾场的照片 编辑:我很感激任何答案,并对我对此主题的缺乏了解表示歉意。我想补充一点,当使用命令查询套接字统计信息时ss,我没有看到应该列出的此服务器。这是否意味着服务器没有监听任何端口?这是否需要在服务器端的 modbus 配置中解决? 值...
我的 HTTPS 服务器这几天都运行缓慢,所以我查看了日志文件(access.log,我用的是 apache2)。我发现我的服务器被大量 400 错误淹没了: 如果我更改 apache 配置以停止监听端口 443,则大量查询将停止(但我的网站将无法访问 x)) 我尝试添加一些 iptables 规则。我通过示例尝试了这些规则: /sbin/iptables -N SYN_FLOOD /sbin/iptables -A INPUT -p tcp --syn -j SYN_FLOOD /sbin/iptables -A SYN_FLOOD -m limit -...
我想对 TCP 数据包进行一些实验。因此,我使用 gopacket (v1.1.19) 来制作数据包并将它们发送到接口。我有此代码用于创建 SYN 数据包并将其放在环回上并发送到 127.0.0.1:8888,其中我有一个 ncat 服务器正在监听 ( ncat -v -l 127.0.0.1 8888)。 我可以按预期在 wireshark 上看到我的数据包,但服务器没有发送 SYN/ACK 数据包。从浏览器调用 localhost:8888 完全没问题。而且我已将我的数据包构建为类似于浏览器发送的数据包(校验和、时间戳和端口当然不同)。 有人知道我的问题...
我正在尝试弄清楚如何实现某件事,但我不确定是否可以实现,因此需要帮助。我做了研究,但找不到可靠的信息。希望这个问题不是重复的。 设置: 我使用 iptables 作为防火墙来阻止恶意 IP 活动。目前,我正在手动将条目写入文件中,然后使用 执行iptables-restore < /etc/iptables/rules。在这些规则中,我有一个记录每个入站连接的规则-A INPUT -m state --state NEW -j LOGALL。我还设置了 apache 来记录连接到网页的 IP。(每个页面有不同的日志,iptables 有不同的日志文件...
当我的服务器很慢时,我被告知运行此命令并检查是否有人发出 SYN_RECV 请求来减慢我的服务器速度: netstat -npt | grep SYN_RECV | awk '{print $5}' | grep -Eo '([0-9]{1,3}\.){3}[0-9]{1,3}' | cut -d: -f1 | sort | uniq -c | sort -nr | head | tee -a $REPORT_FILE 输出示例: Single attack IP - DOS: 262 187.7.214.146 1 95.90.25...
我有一个虚拟环境,我正在使用 Kali 2020 对 Ubuntu 服务器的端口 53 发起 SYN 洪水攻击。 我意识到针对这种攻击的对策是限制或阻止对 SYN 数据包的响应,即 SYN、ACK。 但是我如何使用 iptables 来做到这一点? 还应该做什么来防止此类攻击? 任何帮助,将不胜感激。 ...
这段代码完美地完成了限制 syn 连接的任务,但第 4 行需要将其改为 1/5 秒,而不是 1/si,这是我正在进行的一项作业,需要防止 syn-flood 攻击 iptables -N syn_flood iptables -A INPUT -p tcp --syn -j syn_flood iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN iptables -A syn_flood -j DROP ...
至少几个月以来,netstat -t在我们的 Web 服务器上发出命令时,通常会发现数十个连接状态,该服务器的 TCP 端口 22、80 和 443 都暴露在互联网上SYN_RECV: $ netstat -nt Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 128.1XX.XX.X:22 142.93.230.186...
我尝试创建iptables规则来防止我的服务器连接限制被未完成的 SYN 数据包填满,因为客户端没有返回任何 ACK 数据包(SYN 洪水攻击)。 我已经阅读了 [RFC 4987 TCP SYN 洪水攻击和常见缓解措施][1] 和 [使用 Red Hat Enterprise Linux 7 Beta 缓解 TCP SYN 洪水攻击][2],最后尝试按照 [此处][3] 的说明进行操作:https://javapipe.com/blog/iptables-ddos-protection/ 但是,我的网站仍然很容易受到以下命令的 DOS 攻击而关闭: ...
如果这是一个愚蠢的问题,请原谅我,我不是网络专家。朋友的服务器被某个 IP 淹没,这在查看 的输出时非常明显tcptrace,因为有数百个连接处于“重置”状态。 我做了显而易见的事情并使用 iptables 阻止了所述 IP 地址: iptables -I INPUT -s <bad guy> -j DROP 据我所知,这应该能解决问题。现在,连接显示为“SYN_SENT”,而不是“RESET” tcptrace,这对我来说毫无意义。 我是不是忽略了什么?我是否需要采取一些额外的步骤让内核完全断开连接? 编辑: 另外一个奇怪之处是,...