5560核心交换机定时收到泛洪攻击日志
- 0关注
- 0收藏,114浏览
问题描述:
%May 8 08:34:04:343 2024 CaotanCoreSW SOCKET/6/TCP_SYNFLOOD: atckType(1016)=(05)SYN-flood;srcIPAddr(1017)=10.68.8.175;destIPAddr(1019)=10.68.8.254;atckSpeed(1047)=300;atckTime_cn(1048)=20240508083404
%May 8 08:32:55:032 2024 CaotanCoreSW SOCKET/6/TCP_SYNFLOOD: atckType(1016)=(05)SYN-flood;srcIPAddr(1017)=10.68.6.168;destIPAddr(1019)=10.68.6.254;atckSpeed(1047)=300;atckTime_cn(1048)=20240508083255
%May 8 08:32:53:586 2024 CaotanCoreSW SOCKET/6/TCP_SYNFLOOD: atckType(1016)=(05)SYN-flood;srcIPAddr(1017)=10.68.6.168;destIPAddr(1019)=10.68.6.254;atckSpeed(1047)=300;atckTime_cn(1048)=20240508083253
%May 8 08:32:27:797 2024 CaotanCoreSW SOCKET/6/TCP_SYNFLOOD: atckType(1016)=(05)SYN-flood;srcIPAddr(1017)=10.68.6.131;destIPAddr(1019)=10.68.6.254;atckSpeed(1047)=300;atckTime_cn(1048)=20240508083227
核心交换机上每隔三小时就会收到几条这种日志,源ip是随机的,目的ip就是网络中两个网段的网关地址,业务没受影响,这个是什么问题?源地址的主机都是有杀毒软件的,交换机关闭了一些高危端口。
- 2024-05-08提问
- 举报
-
(0)
您提供的日志显示,您的核心交换机正在遭受SYN-flood攻击。这是一种常见的分布式拒绝服务(DDoS)攻击,攻击者通过发送大量的TCP SYN包(连接请求)来耗尽服务器资源,尤其是半开放连接的资源1。即使源地址的主机有杀毒软件,SYN-flood攻击仍然可能发生,因为这种攻击通常不会被传统的杀毒软件检测到。
尽管您的业务暂时没有受到影响,但这种攻击可能会导致网络性能下降,甚至最终导致服务不可用。因此,建议采取以下措施来防御SYN-flood攻击:
-
启用SYN COOKIE:当服务器收到SYN请求时,不立即分配资源,而是发送一个带有加密COOKIE的SYN-ACK响应。如果客户端返回了一个带有正确COOKIE的ACK响应,服务器才会继续TCP连接的建立过程2。
-
监控网络流量:定期检查网络流量,以便快速识别和响应潜在的攻击行为。
请考虑与网络安全专家合作,以确保实施这些措施不会影响正常业务,并且能够有效地防御这类攻击。
- 2024-05-08回答
- 评论(0)
- 举报
-
(0)
您好,参考
1、TCP攻击检测在设备上分两个模块,安全业务模块和TCP模块,两者独立;攻击检测与防御做在安全业务模块,现场未配置;TCP模块同时也会对报文进行检测,只要每秒超过300个就会打印TCP_SYNFLOOD,只做检测打印日志,不做其它动作,默认开启不能关闭或调整;
2、通过日志找到攻击源,避免终端发送大量TCP SYN报文解决。
- 2024-05-08回答
- 评论(1)
- 举报
-
(0)
您好,关键日志里源ip都是随机的,不知道怎么找这个攻击源,而且源和目的之间一般也用不到建立tcp连接。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明