• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

S12510-F+报错咨询

2023-12-26提问
  • 0关注
  • 0收藏,643浏览
粉丝:0人 关注:0人

问题描述:

设备总有以下类似的日志信息,想请问一下这到底是什么意思,会不会影响网络。不是频繁出现。

%Dec 23 23:07:19:984 2023 NM-ITC-A15-503 SOCKET/6/TCP_SYNFLOOD: -Chassis=2-Slot=0; atckType(1016)=(05)SYN-flood;srcIPAddr(1017)=;destIPAddr(1019)=111.235.159.29;atckSpeed(1047)=300;atckTime_cn(1048)=20231223230719

%Dec 23 23:07:20:503 2023 NM-ITC-A15-503 SOCKET/6/TCP_SYNFLOOD: -Chassis=1-Slot=0; atckType(1016)=(05)SYN-flood;srcIPAddr(1017)=;destIPAddr(1019)=111.235.159.29;atckSpeed(1047)=300;atckTime_cn(1048)=20231223230720

%Dec 23 23:07:20:994 2023 NM-ITC-A15-503 SOCKET/6/TCP_SYNFLOOD: -Chassis=2-Slot=0; atckType(1016)=(05)SYN-flood;srcIPAddr(1017)=;destIPAddr(1019)=111.235.159.25;atckSpeed(1047)=300;atckTime_cn(1048)=20231223230720

%Dec 23 23:07:21:507 2023 NM-ITC-A15-503 SOCKET/6/TCP_SYNFLOOD: -Chassis=1-Slot=0; atckType(1016)=(05)SYN-flood;srcIPAddr(1017)=;destIPAddr(1019)=111.235.159.29;atckSpeed(1047)=300;atckTime_cn(1048)=20231223230721

 

最佳答案

已采纳
粉丝:237人 关注:8人

1TCP攻击检测在设备上分两个模块,安全业务模块和TCP模块,两者独立;攻击检测与防御做在安全业务模块,现场未配置;TCP模块同时也会对报文进行检测,只要每秒超过300个就会打印TCP_SYNFLOOD,只做检测打印日志,不做其它动作,默认开启不能关闭或调整;

2、通过日志找到攻击源,避免终端发送大量TCP SYN报文解决。



如下日志打印:
%Aug 30 23:46:13:101 2017 JS-NJ-CLL-SDNSW.CHINANET.S12510-F SOCKET/6/TCP_SYNFLOOD: -Chassis=2-Slot=0; atckType(1016)=(05)SYN-flood;srcIPAddr(1017)=;destIPAddr(1019)=61.160.136.70;atckSpeed(1047)=300;atckTime_cn(1048)=20170830234613

日志说明:

设备支持建立TCP连接,TCP报文目的地址若是我们的设备IP地址,则会上CPU进行处理,若是一秒收到的TCP报文超过300个,则会报告这条打印。

TCP SYN FLOOD攻击说明:

一般情况下,TCP连接的建立需要经过三次握手,即:
(1)     TCP连接请求的发起者向目标服务器发送SYN报文;
(2)     目标服务器收到SYN报文后,建立处于SYN_RECEIVED状态的TCP半连接,并向发起者回复SYN ACK报文,等待发起者的回应;
(3)     发起者收到SYN ACK报文后,回应ACK报文,这样TCP连接就建立起来了。

利用TCP连接的建立过程,一些恶意的攻击者可以进行SYN Flood攻击。攻击者向服务器发送大量请求建立TCP连接的SYN报文,而不回应服务器的SYN ACK报文,导致服务器上建立了大量的TCP半连接。从而,达到耗费服务器资源,使服务器无法处理正常业务的目的。可以配置tcp syn-COOKIE enable命令来防攻击。
该SYN COOKIE功能用来防止SYN Flood攻击。在服务器上配置此功能后,当服务器收到TCP连接请求时,不建立TCP半连接,而直接向发起者回复SYN ACK报文。服务器接收到发起者回应的ACK报文后,建立连接,并进入ESTABLISHED状态。通过这种方式,可以避免在服务器上建立大量的TCP半连接,防止服务器受到SYN Flood攻击。

命令说明:
防攻击命令行tcp syn-COOKIE enable,这个命令行是用来防tcp syn-flood攻击的,但此命令是CPU处理,报文还会上CPU处理(若是攻击导致CPU高的情况会有一定的缓解),因为大量报文来了之后都要CPU按照正常流程进行处理,配置该防攻击的效果是不建立半连接,不会出现大量占用设备内存的情况。
现场版本不支持打印TCP攻击源的打印,也可以使用packet-filter或者mqc把tcp攻击报文丢掉
打开平台设备debug开关,acl为目的ip(设备自己,这个log打印有),协议类型是tcp

<h3c> debugging ip packet acl <acl>
    <h3c> terminal debugging
    <h3c> terminal monitor

打开t d, t m后,会打印出tcp报文,报文特征显示出来后确认是非正常连接的TCP的源IP,在全局下发MQC过滤,把此种源IP的报文过滤掉即可。

感谢解答。

zhiliao_3Oe2bY 发表时间:2023-12-26 更多>>

感谢解答。

zhiliao_3Oe2bY 发表时间:2023-12-26
0 个回答

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明