• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

5560核心交换机定时收到泛洪攻击日志

2024-05-08提问
  • 1关注
  • 0收藏,575浏览
粉丝:0人 关注:1人

问题描述:

%May  8 08:34:04:343 2024 CaotanCoreSW SOCKET/6/TCP_SYNFLOOD: atckType(1016)=(05)SYN-flood;srcIPAddr(1017)=10.68.8.175;destIPAddr(1019)=10.68.8.254;atckSpeed(1047)=300;atckTime_cn(1048)=20240508083404

%May  8 08:32:55:032 2024 CaotanCoreSW SOCKET/6/TCP_SYNFLOOD: atckType(1016)=(05)SYN-flood;srcIPAddr(1017)=10.68.6.168;destIPAddr(1019)=10.68.6.254;atckSpeed(1047)=300;atckTime_cn(1048)=20240508083255

 

%May  8 08:32:53:586 2024 CaotanCoreSW SOCKET/6/TCP_SYNFLOOD: atckType(1016)=(05)SYN-flood;srcIPAddr(1017)=10.68.6.168;destIPAddr(1019)=10.68.6.254;atckSpeed(1047)=300;atckTime_cn(1048)=20240508083253

%May  8 08:32:27:797 2024 CaotanCoreSW SOCKET/6/TCP_SYNFLOOD: atckType(1016)=(05)SYN-flood;srcIPAddr(1017)=10.68.6.131;destIPAddr(1019)=10.68.6.254;atckSpeed(1047)=300;atckTime_cn(1048)=20240508083227

核心交换机上每隔三小时就会收到几条这种日志,源ip是随机的,目的ip就是网络中两个网段的网关地址,业务没受影响,这个是什么问题?源地址的主机都是有杀毒软件的,交换机关闭了一些高危端口。

2 个回答
已采纳
粉丝:167人 关注:1人

您提供的日志显示,您的核心交换机正在遭受SYN-flood攻击。这是一种常见的分布式拒绝服务(DDoS)攻击,攻击者通过发送大量的TCP SYN包(连接请求)来耗尽服务器资源,尤其是半开放连接的资源1。即使源地址的主机有杀毒软件,SYN-flood攻击仍然可能发生,因为这种攻击通常不会被传统的杀毒软件检测到。

尽管您的业务暂时没有受到影响,但这种攻击可能会导致网络性能下降,甚至最终导致服务不可用。因此,建议采取以下措施来防御SYN-flood攻击:

  1. 启用SYN COOKIE:当服务器收到SYN请求时,不立即分配资源,而是发送一个带有加密COOKIE的SYN-ACK响应。如果客户端返回了一个带有正确COOKIE的ACK响应,服务器才会继续TCP连接的建立过程2

  2. 调整TCP堆栈参数:例如,减少SYN包的重试次数,限制同时处理的半连接数量,缩短SYN包超时时间等2

  3. 增加连接队列大小:这样可以让服务器处理更多的连接请求,减轻SYN攻击带来的负担3

  4. 部署防火墙规则:设置规则来限制每个IP地址在一定时间内可以尝试的连接次数4

  5. 使用专业的DDoS防护解决方案:这些系统可以在网络入口处拦截攻击流量,保护服务器不受攻击1

  6. 监控网络流量:定期检查网络流量,以便快速识别和响应潜在的攻击行为。

请考虑与网络安全专家合作,以确保实施这些措施不会影响正常业务,并且能够有效地防御这类攻击。

粉丝:108人 关注:0人

您好,参考

1TCP攻击检测在设备上分两个模块,安全业务模块和TCP模块,两者独立;攻击检测与防御做在安全业务模块,现场未配置;TCP模块同时也会对报文进行检测,只要每秒超过300个就会打印TCP_SYNFLOOD,只做检测打印日志,不做其它动作,默认开启不能关闭或调整;

2、通过日志找到攻击源,避免终端发送大量TCP SYN报文解决。

您好,关键日志里源ip都是随机的,不知道怎么找这个攻击源,而且源和目的之间一般也用不到建立tcp连接。

zhiliao_7qoOuQ 发表时间:2024-05-08 更多>>

您好,关键日志里源ip都是随机的,不知道怎么找这个攻击源,而且源和目的之间一般也用不到建立tcp连接。

zhiliao_7qoOuQ 发表时间:2024-05-08

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明