立即前往

活动

天翼云最新优惠活动,涵盖免费试用,产品折扣等,助您降本增效!
查看全部活动
热门活动
  • 智算采购季 热销S6云服务器2核4G限时88元/年起,部分主机可加赠对象存储组合包!
  • 免费体验DeepSeek,上天翼云息壤 NEW 新老用户均可免费体验2500万Tokens,限时两周
  • 云上钜惠 HOT 爆款云主机全场特惠,更有万元锦鲤券等你来领!
  • 算力套餐 HOT 让算力触手可及
  • 天翼云脑AOne NEW 连接、保护、办公,All-in-One!
  • 一键部署Llama3大模型学习机 0代码一键部署,预装最新主流大模型Llama3与StableDiffusion
  • 中小企业应用上云专场 产品组合下单即享折上9折起,助力企业快速上云
  • 息壤高校钜惠活动 NEW 天翼云息壤杯高校AI大赛,数款产品享受线上订购超值特惠
  • 天翼云电脑专场 HOT 移动办公新选择,爆款4核8G畅享1年3.5折起,快来抢购!
  • 天翼云奖励推广计划 加入成为云推官,推荐新用户注册下单得现金奖励
免费活动
  • 免费试用中心 HOT 多款云产品免费试用,快来开启云上之旅
  • 天翼云用户体验官 NEW 您的洞察,重塑科技边界

智算服务

打造统一的产品能力,实现算网调度、训练推理、技术架构、资源管理一体化智算服务
智算云(DeepSeek专区)
科研助手
  • 算力商城
  • 应用商城
  • 开发机
  • 并行计算
算力互联调度平台
  • 应用市场
  • 算力市场
  • 算力调度推荐
一站式智算服务平台
  • 模型广场
  • 体验中心
  • 服务接入
智算一体机
  • 智算一体机
大模型
  • DeepSeek-R1-昇腾版(671B)
  • DeepSeek-R1-英伟达版(671B)
  • DeepSeek-V3-昇腾版(671B)
  • DeepSeek-R1-Distill-Llama-70B
  • DeepSeek-R1-Distill-Qwen-32B
  • Qwen2-72B-Instruct
  • StableDiffusion-V2.1
  • TeleChat-12B

应用商城

天翼云精选行业优秀合作伙伴及千余款商品,提供一站式云上应用服务
进入甄选商城进入云市场创新解决方案
办公协同
  • WPS云文档
  • 安全邮箱
  • EMM手机管家
  • 智能商业平台
财务管理
  • 工资条
  • 税务风控云
企业应用
  • 翼信息化运维服务
  • 翼视频云归档解决方案
工业能源
  • 智慧工厂_生产流程管理解决方案
  • 智慧工地
建站工具
  • SSL证书
  • 新域名服务
网络工具
  • 翼云加速
灾备迁移
  • 云管家2.0
  • 翼备份
资源管理
  • 全栈混合云敏捷版(软件)
  • 全栈混合云敏捷版(一体机)
行业应用
  • 翼电子教室
  • 翼智慧显示一体化解决方案

合作伙伴

天翼云携手合作伙伴,共创云上生态,合作共赢
天翼云生态合作中心
  • 天翼云生态合作中心
天翼云渠道合作伙伴
  • 天翼云代理渠道合作伙伴
天翼云服务合作伙伴
  • 天翼云集成商交付能力认证
天翼云应用合作伙伴
  • 天翼云云市场合作伙伴
  • 天翼云甄选商城合作伙伴
天翼云技术合作伙伴
  • 天翼云OpenAPI中心
  • 天翼云EasyCoding平台
天翼云培训认证
  • 天翼云学堂
  • 天翼云市场商学院
天翼云合作计划
  • 云汇计划
天翼云东升计划
  • 适配中心
  • 东升计划
  • 适配互认证

开发者

开发者相关功能入口汇聚
技术社区
  • 专栏文章
  • 互动问答
  • 技术视频
资源与工具
  • OpenAPI中心
开放能力
  • EasyCoding敏捷开发平台
培训与认证
  • 天翼云学堂
  • 天翼云认证
魔乐社区
  • 魔乐社区

支持与服务

为您提供全方位支持与服务,全流程技术保障,助您轻松上云,安全无忧
文档与工具
  • 文档中心
  • 新手上云
  • 自助服务
  • OpenAPI中心
定价
  • 价格计算器
  • 定价策略
基础服务
  • 售前咨询
  • 在线支持
  • 在线支持
  • 工单服务
  • 建议与反馈
  • 用户体验官
  • 服务保障
  • 客户公告
  • 会员中心
增值服务
  • 红心服务
  • 客户支持计划
  • 专家技术服务
  • 备案管家

了解天翼云

天翼云秉承央企使命,致力于成为数字经济主力军,投身科技强国伟大事业,为用户提供安全、普惠云服务
品牌介绍
  • 关于天翼云
  • 智算云
  • 天翼云4.0
  • 新闻资讯
  • 天翼云APP
基础设施
  • 全球基础设施
  • 产品能力
  • 信任中心
最佳实践
  • 精选案例
  • 超级探访
  • 云杂志
  • 分析师和白皮书
  • 天翼云·创新直播间
市场活动
  • 2025智能云生态大会
  • 2024智算云生态大会
  • 2023云生态大会
  • 2022云生态大会
  • 天翼云中国行
天翼云
  • 活动
  • 智算服务
  • 产品
  • 解决方案
  • 应用商城
  • 合作伙伴
  • 开发者
  • 支持与服务
  • 了解天翼云
    • 关系数据库SQL Server版
    • 企业主机安全
    • 云防火墙
    • CDN加速
    • 物理机
    • GPU云主机
    • 天翼云电脑(政企版)
    • 天翼云电脑(公众版)
    • 云主机备份
    • 弹性云主机
      搜索发现
      关系数据库SQL Server版企业主机安全云防火墙CDN加速物理机GPU云主机天翼云电脑(政企版)天翼云电脑(公众版)云主机备份弹性云主机
    • 文档
    • 控制中心
    • 备案
    • 管理中心
    • 登录
    • 免费注册

    SYN flood攻击

    首页 知识中心 其他 文章详情页

    SYN flood攻击

    2023-06-25 07:14:48 阅读次数:387

    主机,防火墙

     

    SYN flood攻击

    发现网络故障就像人类的疾病一样,在表面很难看出问题的症结所在,疾病的产生往往是一连串的异常所至;

    故障初现

    杭州分公司报告异常说有一个网段速度特别慢,我远程连接过去发现确实如此,ping 外网一会挺顺畅,过一小会儿延迟就会特别大,而且会丢包,这个网段当中电脑不多,而且没有策略限制,所有的电脑都是直通上网,这样的问题我在西安分公司遇到过一次,一般都是这些电脑中病毒所致,只要将电脑搬到其它网段重装系统,然后搞一个还原软件即可杜绝此类事情的发生。因为有了这些的经验,所以我也判断杭州这次也是这样的情况,我在济南指挥让部门同事把这个网段内的电脑全部关机,然后找一台新的电脑接到这个网段进行测试,所以网络还是特别的卡,事情可能没我想像的这么简单……

    紧接着,zabbix的报警开始了,杭州到济南、西安的连接不断断掉,济南研发区的同事也报异常说云桌面特别卡,而且会有掉线的情况的发生,西安也有类似的事情发生了,自己的手机、钉钉、微信、飞秋几乎要被同事打爆,怎么办?

    管理AC(上网行为管理)的同事发现他设备上的流量波动非常大,行为管理设备已经是比较边缘了,这时候我也有点慌了,因为没有头绪,不知道问题出在哪里?手机还在不停的发出声音,身边都是同事的抱怨,我习惯性的连接到杭州的内网防火墙和外网防火墙上, 内网防火墙除了流量波动有些大之外,也没有其它异常,但是外网防火墙异常特别明显,内存和CPU的占用高达百分之九十五,问题应该就是出在这个地方。

    可是怎么处理呢?

    好吧,我承认我慌了……

    痛苦挣扎

    防火墙的系统一直是比较稳定的,还从来没发现这样的事情,刚开始我认为是防火墙自身系统的问题,于是向400工程师咨询,我将故障诊断发给了厂商的工程师,对方发现日志的写入速度非常快,厂商的工程师希望我将日志的写入功能暂时关掉,好吧,我关掉了,占用还是这么高!根本没用,然后工程师又希望我对防火墙升级一个版本,这样可以排除防火墙系统本身的问题,好吧,听厂商工程师的话,打算让当地同事给我准备远程环境,我来升级版本,对于这次升级,我心里是没底的,而且我也从来没有升过级,前方一片未知,只得硬着头皮向上走。

    当然,在此过程当中我并没有完全相信厂商的工程师,我尝试了重启,希望通过重启来解决问题,但是重启之后,发现问题依然存在,我意识到问题很可能不是防火墙系统版本的问题,一般这种问题只要重启设备,就算不能解决,至少也也能缓解,而且这台防火墙经历了多次断电经历,依然坚挺如故,说明这台防火墙的系统还是挺稳固的,但400厂商的工程师还是建议我升级版本,以排除是版本的问题。

    我打算暂时不听厂商工程师的,我先自己判断一下,最后再给防火墙一次机会,我再次尝试重启防火墙,还是如此,没有任何用处,我让同事在机房到这台防火墙,让他拔掉两根线,这两根线分别对着两个网段,果然拔了之后,外网防火墙的资源就恢复正常了,问题的源头肯定是这两根网线当中的一根,然后插上其中一根,正常,再插上另一根,防火墙的资源占用就上去了,问题的范围缩小了,缩小到这根网线对应的网段当中。

    那然后呢?再怎么处理?

    当然肯定是先恢复业务,我将这根网线对应的接口down掉,好在这个接口对应的网段不是很重要,这样保证关键的业务先恢复,我是这么想的。但当这么做了之后,又发现从济南到杭州的GRE-IPSEC VPN又断掉了,从杭州和济南两地又重置了VPN连接才恢复的,我猜想应该是进程卡住了。我虽然这么说的简单,其实就这么一个简单的过程,我也在工位上苦苦挣扎了半个多小时。

    顺藤摸瓜

    我让同事找了一个笔记本,我通过热点远程进入这台笔记本,然后让同事把防火墙上那根有问题的线插入到这个笔记本当中,我在这个笔记本上打开抓包程序,开始抓包,刚开始抓就发现不正常,因为包的速度非常快,而且有大量特性非常相似的报文,来不及观看,因为速度太快了,等了2分钟,将所有的报文保存一下,然后从杭州将这个包发送到我济南的电脑上,发送的时候我就觉得不太正常,我发现这个文件大小竟然高达150MB,按理说150M不是特别大,但我是知道,这个网段内因为近期改造的原因,当前只存在有两台服务器,两台服务器在网络不通的情况下(因为我把线从防火墙上拔了)两分钟接收150M的报文,肯定是不正常的。

    我在通过抓包抓包软件打开这个报文,最终发现了问题,这个文件里面几乎全都是SYN置位的报文,全都是一台主机发出的,我恍然大悟,原来是这样。出问题的那台主机我们暂时称之为A主机,主机不断向防火墙发送SYN=1的报文,这是三次握手的第一次报文,速度非常快,而且目标IP全是虚拟的,速度非常快,根本不等到第二次握手包回来,这明显是公然违反TCP三次握手的规则,写到这里面读者可能有迷惑了,A主机不断向外发SYN报文和防火墙有什么关系呢?是因为A主机的网关在防火墙上,而防火墙还为这台主机配置的NAT,防火墙会给每一个SYN建立一个会话,由于A主机是恶意以超高频率向外发送SYN置位的报文,所以,会话非常多,多到防火墙自身的资源几乎被耗尽的程度,可能读者会问了?会话不是会有超时嘛?是会有超时,但是A主机的发送SYN报文的频率太高了,会话累积的速度太快,活生生把防火墙的资源耗尽。

    被耗尽资源的防火墙是杭州的外网防火墙,由于云桌面的调度平台是在杭州,流量会通过VPN到达杭州的外网防火墙,但是外网防火墙的资源几乎被耗尽,所以这些流量就会被堵住,然后超时,最终失效。

    原因

    至于为什么A主机搞破坏,我们猜想是因为在防火墙把A主机的22号端口映射出去了,然后被外网的黑客给扫描到,正好A主机的密码也是弱密码,被暴力破解,被人植入了SYN flood的攻击,当然这一切都是假定在我们公司的所有同事都是无辜的。

    复盘回顾

    其实事件事用一句话差不多就能概括了,就是我们将A主机的22号端口映射到公网上,使用的是弱密码,被黑客扫描到进而进行暴力破解,然后在A主机上植入SYN flood攻击程序,SYN 报文被发送到网关也就是防火墙上,防火墙又给A主机配置了NAT,会不断会其创建会话,结果把防火墙给活活累死,很多的业务流量也无法正常进入到外网防火墙。

    那我们后续的改进有哪些呢?最简单的如下

    • 当然服务器的安全加固应该搞一搞,方案什么的都是现成的,当然,如果这个事情不形成制度,那效果不大,但暂时解决解决还是没问题的。
    • 我们也没有定期扫描渗透之类的制度,这个可以搞一搞 ,只不过我肯定是没有时间了。
    • 那该死的ssh服务,最好不是映射到公网上,无论是不是22号端口。

    从黑客到主机,起码要过三个类似“墙”的东西,在三个类似墙的东西上都能够做一些文章,使得黑客无法攻入进来,第一是真正的防火墙,由于我们公司没有购买防火墙的安全功能,这是不能指望了;服务器管理者的安全意识,开发同事们对LINUX的了解和操作实在是弱的很,iptalbes也没有设置,直接给关闭了,ssh还特么使用弱密码;我们IT部门人员的安全意识,恩……,这个……,平时的事情都已经累够呛了,哪有时间考虑这个;

    这件事情的真正价值?

    考虑一件事情的价值,是一个什么样的角度出发呢?当然是个人了,这件事对我个人有什么价值?

    1. 提醒,我认为提醒,当防火墙被黑客攻击的时候如何快速做出反应?这是后续我不得不考虑的问题,此件事物防火墙明显是被误伤的,这个黑客也不怎么高明,就是捣乱而已。
      1. 如果有黑客真的对防火墙的外网IP做出DDOS攻击时,我要怎么应对呢?
      2. 有同事故意在局域网里面捣乱我又要怎么处理呢?
      3. 防火墙真的安全吗?是否当前有人在暴力破解?
      4. 又如何判断当前的VPN是否连接正常?
      5. 如果防火墙真的被人攻陷,自己有多大的把握恢复正常?要使用多长时间?
    2. 给我成长的路上舔砖加瓦
    版权声明:本文内容来自第三方投稿或授权转载,原文地址:https://blog.51cto.com/u_11580232/3218360,作者:一张贺卡,版权归原作者所有。本网站转在其作品的目的在于传递更多信息,不拥有版权,亦不承担相应法律责任。如因作品内容、版权等问题需要同本网站联系,请发邮件至ctyunbbs@chinatelecom.cn沟通。

    上一篇:磁盘管理

    下一篇:网络边界安全:防火墙双机热备之上下行接交换机

    相关文章

    2025-04-22 09:40:08

    【网络】网络层协议ARP和IP协议转发流程

    IP地址(Internet Protocol Address)是指互联网协议地址,又译为网际协议地址。

    2025-04-22 09:40:08
    ARP , IP , MAC , 主机 , 地址
    2025-04-22 09:28:31

    Tcp的三次握手及netty和实际开发如何设置全连接队列参数

    Tcp的三次握手及netty和实际开发如何设置全连接队列参数

    2025-04-22 09:28:31
    queue , server , 队列
    2025-04-09 09:13:17

    使用SSH实现内网透传

    ssh服务除了实现“安全”的远程登录,命令执行,文件传递外,还可以基于隧道方式实现内网透传。

    2025-04-09 09:13:17
    主机 , 端口 , 访问 , 连通
    2025-04-09 09:12:41

    Ansible学习笔记06:主机组

    子组(child_groups)是组(group)的一个属性,表示一个组中的子组列表。子组的概念用于表示组之间的层次关系,以便更好地管理和组织主机。

    2025-04-09 09:12:41
    ansible , 主机 , 主机名 , 使用
    2025-04-09 09:12:41

    Ansible学习笔记05:ansible命令选项 主机组参数

    ansibile使用ssh在这条命令中没有指定ssh的端口 密码 用户名,因为在之前配置中,做了ssh互信,端口与用户名写在了ansible配置文件中。

    2025-04-09 09:12:41
    ansible , sudo , 主机 , 密码 , 选项
    2025-03-28 06:50:00

    Ansible学习笔记02:入门

    Ansible学习笔记02:入门

    2025-03-28 06:50:00
    Ansible , 主机 , 执行 , 指定 , 模块
    2025-03-21 06:57:11

    Linux——网络基础

    网络通信协议的设计非常复杂,因此需要进行协议分层,使其具有模块化。

    2025-03-21 06:57:11
    主机 , 协议 , 地址 , 数据 , 端口号 , 网络 , 通信
    2025-03-21 06:57:11

    【shell】scp 同时向多个主机拷贝数据

    【shell】scp 同时向多个主机拷贝数据

    2025-03-21 06:57:11
    scp , Server , ssh , 主机 , 登录
    2025-02-14 08:19:53

    【协议】LLDP、ARP、STP、ICMP协议

    【协议】LLDP、ARP、STP、ICMP协议

    2025-02-14 08:19:53
    ARP , MAC , 主机 , 协议 , 地址 , 报文
    2025-02-10 08:56:25

    Linux网络——NAT/代理服务器

    IPv4 协议中, IP 地址数量不充足的问题,NAT 技术就是当前解决 IP 地址不够用的主要手段, 是路由器的一个重要功能。

    2025-02-10 08:56:25
    NAT , 主机 , 内网 , 客户端 , 服务器 , 路由器
    查看更多
    推荐标签

    作者介绍

    天翼云小翼
    天翼云用户

    文章

    32777

    阅读量

    4833035

    查看更多

    最新文章

    【网络】网络层协议ARP和IP协议转发流程

    2025-04-22 09:40:08

    使用SSH实现内网透传

    2025-04-09 09:13:17

    Ansible学习笔记06:主机组

    2025-04-09 09:12:41

    Ansible学习笔记05:ansible命令选项 主机组参数

    2025-04-09 09:12:41

    Ansible学习笔记02:入门

    2025-03-28 06:50:00

    【协议】LLDP、ARP、STP、ICMP协议

    2025-02-14 08:19:53

    查看更多

    热门文章

    ansible基础(1)

    2023-06-25 07:00:33

    centos7-防火墙

    2023-04-25 10:20:57

    linux设置防火墙,自启动以及关闭禁止防火墙

    2023-05-18 06:24:27

    Linux Commnad iptables 防火墙

    2023-05-09 05:56:14

    pfSense启用远程SSH访问

    2023-06-19 07:02:33

    CentOS7 之iptables防火墙相关命令详解

    2023-05-25 14:43:25

    查看更多

    热门标签

    linux java python javascript 数组 前端 docker Linux vue 函数 shell git 容器 spring 节点
    查看更多

    相关产品

    弹性云主机

    随时自助获取、弹性伸缩的云服务器资源

    天翼云电脑(公众版)

    便捷、安全、高效的云电脑服务

    对象存储

    高品质、低成本的云上存储服务

    云硬盘

    为云上计算资源提供持久性块存储

    查看更多

    随机文章

    【OS】Linux如何关闭防火墙

    CentOS7 之iptables防火墙相关命令详解

    linux设置防火墙,自启动以及关闭禁止防火墙

    【Kubernets】kubernets整体技术架构

    linux防火墙

    Iptables基本介绍

    • 7*24小时售后
    • 无忧退款
    • 免费备案
    • 专家服务
    售前咨询热线
    400-810-9889转1
    关注天翼云
    • 权益商城
    • 天翼云APP
    • 天翼云微信公众号
    服务与支持
    • 备案中心
    • 售前咨询
    • 智能客服
    • 自助服务
    • 工单管理
    • 客户公告
    • 涉诈举报
    账户管理
    • 管理中心
    • 订单管理
    • 余额管理
    • 发票管理
    • 充值汇款
    • 续费管理
    快速入口
    • 权益商城
    • 文档中心
    • 最新活动
    • 免费试用
    • 信任中心
    • 天翼云学堂
    云网生态
    • 甄选商城
    • 渠道合作
    • 云市场合作
    了解天翼云
    • 关于天翼云
    • 天翼云APP
    • 服务案例
    • 新闻资讯
    • 联系我们
    热门产品
    • 云电脑
    • 弹性云主机
    • 云电脑政企版
    • 天翼云手机
    • 云数据库
    • 对象存储
    • 云硬盘
    • Web应用防火墙
    • 服务器安全卫士
    • CDN加速
    热门推荐
    • 云服务备份
    • 边缘安全加速平台
    • 全站加速
    • 安全加速
    • 云服务器
    • 云主机
    • 智能边缘云
    • 应用编排服务
    • 微服务引擎
    • 共享流量包
    更多推荐
    • web应用防火墙
    • 密钥管理
    • 等保咨询
    • 安全专区
    • 应用运维管理
    • 云日志服务
    • 文档数据库服务
    • 云搜索服务
    • 数据湖探索
    • 数据仓库服务
    友情链接
    • 中国电信集团
    • 189邮箱
    • 天翼企业云盘
    • 天翼云盘
    ©2025 天翼云科技有限公司版权所有 增值电信业务经营许可证A2.B1.B2-20090001
    公司地址:北京市东城区青龙胡同甲1号、3号2幢2层205-32室
    • 用户协议
    • 隐私政策
    • 个人信息保护
    • 法律声明
    备案 京公网安备11010802043424号 京ICP备 2021034386号