|
发表于 2010-1-29 12:04:45
|显示全部楼层
检测[url=http://www.52wpe.net]私服[/url]是否被SYN攻击的方法非常的简单,我们可以随时的使用这个检测的方法来对我们[url=http://www.52wpe.net]私服[/url]的安全进行检测!比如当你在服务器上看到大量的半连接状态时,特别是源IP地址是随机的,基本上可以断定这是一次SYN攻击。
检测的方法我们使用系统自带的netstat 工具来检测SYN攻击:
# netstat -n -p TCP
tcp 0 0 10.11.11.11:23 124.173.152.8:25882 SYN_RECV -
tcp 0 0 10.11.11.11:23 236.15.133.204:2577 SYN_RECV -
tcp 0 0 10.11.11.11:23 127.160.6.129:51748 SYN_RECV -
tcp 0 0 10.11.11.11:23 222.220.13.25:47393 SYN_RECV -
tcp 0 0 10.11.11.11:23 212.200.204.182:60427 SYN_RECV -
tcp 0 0 10.11.11.11:23 232.115.18.38:278 SYN_RECV -
tcp 0 0 10.11.11.11:23 239.116.95.96:5122 SYN_RECV -
tcp 0 0 10.11.11.11:23 236.219.139.207:49162 SYN_RECV -
...
上面是在LINUX系统中看到的,很多连接处于SYN_RECV状态(在WINDOWS系统中是SYN_RECEIVED状态),源IP地址都是随机的,表明这是一种带有IP欺骗的SYN攻击.
我们也可以通过下面的命令直接查看在LINUX环境下某个端囗的未连接队列的条目数:
#netstat -n -p TCP grep SYN_RECV grep :22 wc -l
324
如果使用这种方法对自己的[url=http://www.52wpe.net]私服[/url]进行检测时都出现了在上面的这种类似的显示,如第二个例子中显示TCP端囗22的未连接数有324个,虽然说这个未连接数还远没达到系统的上限,但这里也应该引起[url=http://www.52wpe.net]私服[/url]管理员的注意了!再比如第一个方法中显示出来的数据,这样的显示就基本可以断定自己的[url=http://www.52wpe.net]私服[/url]已经被攻击了!所以说平时没事的我们就要使用这两中方法来对自己的[url=http://www.52wpe.net]私服[/url]进行一下检测,可以让我们在第一时间发现这些攻击并做出处理! |
|