TCP Peer ha inaspettatamente ridotto i messaggi della finestra nel registro dmesg

Question

TCP Peer ha inaspettatamente ridotto i messaggi della finestra nel registro dmesg

#1 da (31 voti)

26

Riceviamo pochi messaggi come questi nel nostro registro dmesg su vari server:

TCP: Peer 0000:0000:0000:0000:0000:ffff:d431:5861:56369/80 unexpectedly shrunk window 2522304441:2522312601 (repaired)
TCP: Peer 192.162.164.1:33760/60908 unexpectedly shrunk window 3159965547:3159965552 (repaired)

Mi è stato detto che si tratta di un attacco denial of service sulla nostra infrastruttura. Se è possibile mantenere la connessione TCP aperta indefinitamente, è possibile legare le risorse di sistema e impedire ai client legittimi di connettersi ai propri server.

Come posso effettivamente identificare se questi sono e gli effettivi attacchi DOS o qualcosa di molto meno dannoso?

linux network denial-of-service

posta nelaaro 23.11.2012 - 09:34

fonte

1 risposta

Leggi altre domande sui tag linux network denial-of-service

Come dovrebbe un'applicazione memorizzare le proprie credenziali Qual è lo scopo? Strani tentativi di accesso "ssh [***] Ricevuto disconnessione da **. **. **. **: 11: Bye Bye [preauth]"

score 31 · Accepted Answer

Ciò si verifica normalmente quando un client decide di ridurre le dimensioni della finestra TCP, senza che il server se lo aspetti. Questo può essere il caso in cui la frammentazione è un problema o quando il client utilizza un dispositivo incorporato con poca memoria tampone NIC. Questo è un comportamento completamente normale, e probabilmente nel pacchetto ce ne saranno alcuni. I messaggi sono solo informativi e vengono utilizzati per il debug dei problemi di rete.

Sarei preoccupato se tu vedessi centinaia di migliaia di questi pacchetti, dal momento che ci sono attacchi che coinvolgono la frammentazione dei pacchetti e le dimensioni di una finestra piccola, ma altrimenti è solo il normale tipo di rumore che dovresti aspettarti di vedere su qualsiasi internet Rete. Infatti, la parte "riparata" del tuo messaggio mostra che il tuo driver di rete ha risolto il problema, che di solito viene fatto concatenando i payload di due pacchetti frammentati insieme. Non dovrebbe essere un problema.