Perché il mio server Web riceve così tanti ripristini TCP da alcuni client?

4

Eseguo un server Web e registro le connessioni che sono state eliminate. Occasionalmente, ottengo una raffica di pacchetti TCP RST da alcuni dei miei clienti, come questo:

Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:30 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0

Si tratta di un attacco flood RST, attacco DDOS, attacco di reset TCP o qualche altro fenomeno?

    
posta user68300 13.02.2015 - 16:31
fonte

1 risposta

2

Ci sono alcune cose che potrebbero andare avanti. È possibile che questo sia correlato all'ECN sui firewall che può causare questo, ma posso assicurarlo probabilmente in nessun tipo di attacco flooding o DDOS.

Un motivo per cui un dispositivo invierà un RST è in risposta alla ricezione di un pacchetto per un socket chiuso.

È difficile dare una risposta ferma ma generale, perché ogni possibile perversione è stata visitata su TCP sin dal suo inizio, e tutti i tipi di persone potrebbero inserire RST nel tentativo di bloccare il traffico.

Ma come ho detto prima, sembra più che un firewall stia sollevando richieste. Non sarei interessato. Potresti fare uno sguardo più verboso in quella SRC per vedere chi sta facendo cosa.

    
risposta data 13.02.2015 - 17:51
fonte

Leggi altre domande sui tag