有人能帮我看下这个包吗，我实在看不出原因

ywd2ls · 发表于 2009-10-27 12:18:07

出现的症状是我ping网关和外网都丢包，用科来抓包没发现问题，最后只好用笨办法一个一个端口的拔掉网线，最后发现了问题的源头，是一个202.22.250.243的IP出现了问题，只要把这个端口关掉网络就恢复正常了，只要一开就立刻大面积丢包，我把这个IP抓了一段包出来，实在是看不出问题，不知道有高手能帮我分析下不

w_dalu · 发表于 2009-10-27 12:34:42

的确，有问题。
发现大量的TCP SYN连接，应该是TCP SYN风暴攻击。
发现大量的同数据的UDP包，疑为UDP Flood攻击。

w_dalu · 发表于 2009-10-27 12:38:50

所有包的目的IP为202.22.250.243，也是被攻击的目标IP。
你可以把202.22.250.243的TCP端口13904， UDP端口16167给禁掉。不过，这样治标不治本

ywd2ls · 发表于 2009-10-27 13:03:04

TCP SYN风暴攻击这个是如何看出来的可以教教我吗

tlbaobao · 发表于 2009-10-27 14:34:15

202.22.250.243应该是攻击源IP!!!!!!!!!!!!

百乐 · 发表于 2009-11-2 21:11:00

怎么看出来的。 202.22.250.243应该是攻击源IP!!!!!!!!!!!! ？

xcjo0 · 发表于 2009-11-7 16:54:05

多谢分享！！！！！！！！！~~~~

a0055b · 发表于 2009-11-8 16:31:50

呵呵这个IP被人用TCP和UDP协议分别攻击,这个IP上面有什么应用吗??如果有重要应用只能托管到
有防火墙的IDC机房了.

xyzl7477 · 发表于 2009-11-21 07:53:34

202.22.250.243,在会话中,可以看到TCP协议只有接收数据包,无一个发送数据包。而UDP包中只能发送数据包包而无接收数据包。应该此IP有问题。

天空之城 · 发表于 2009-11-21 08:55:37

本帖最后由天空之城于 2009-11-21 09:02 编辑

202.22.250.243应该是攻击源IP!!!!!!!!!!!!
tlbaobao 发表于 2009-10-27 14:34

此IP是被攻击目标，它接收了140253个数据包，发送数据包为0，没有发送的数据包怎么去攻击别人呢？

在楼主提供的数据包中，60.54.53.1这台IP的主机存在大量的TCP快速重传和TCP重传现象；58.34.65.53这台IP的主机发送的都是128-255大小的UDP数据包。

另外想问下楼主，在网络中有没有安装防火墙，防火墙有没有防止TCP同步连接攻击和UDP FLOOD攻击的设置。

nfy888 · 发表于 2010-1-28 10:43:23

多谢分享！！！！！！！！！~~~~

有人能帮我看下这个包吗，我实在看不出原因

浏览过的版块