请帮忙看看我的服务器是否受到攻击

deathkiss

我的服务器是使用tomcat提供的外网WEB服务，每天早上都会发现大量的SYN_RECV状态的链接：

过一会儿这种连接就会减少，但一直都存在，不会消失。

由于网站上有一个供下载的软件，这个软件的下载量每天会成倍的增长，但是网站的访问量
远低于下载量，这给网站的统计带来很大麻烦，并且有时会造成网站访问的困难。
由于我的服务器是放在IDC机房的，安装流量监控软件不太方便，本身系统是RHEL4 update5，除了tomcat以外只有ssh服务对外，SSH是使用密钥认证。
请帮我分析一下这种现象是否受到了synflood的攻击，或者其它类型的攻击，谢谢！在线等~~~~：）

[ 本帖最后由 deathkiss 于 2008-4-15 10:01 编辑 ]

deathkiss

没人帮我看一眼么，还需要别的什么数据我都能提供：）

只是一个神话

图中大部分SYN连接都是来自192.168.18.50这个地址,这个应该是内网的某台机器.如果是SYNFLOOD,那TCP三次握手只进行到第二步,一抓包分析就清楚了.

deathkiss

谢谢你的回复。
首先，192.168.0.50这个IP ping不到，由于机器在IDC，所以在服务器前面单独接了一台硬件防火墙，没有和这台机器同处一个网络的其他设备。我昨天在硬件防火墙上禁止了192.168.0.0/16地址的访问，今天的SYN_RECV链接变成了219.143.205.117，不是192.168.0.50了，情况依然没有好转。另外，我在防火墙上一直打开了“禁止syn_flood攻击”的选项，从效果来看并不明显。由于这个原因，有时候网站根本无法正常访问。
请问有没有什么办法不用去IDC安装抓包的软件就能查明原因的？

[ 本帖最后由 deathkiss 于 2008-4-16 16:58 编辑 ]

只是一个神话

如果防火墙有防SYNFLOOD的功能,开启了还是这样.那会不会就不是SYNFLOOD攻击呢?如果不抓包的话也不好肯定说是不是.
可不可以把那软件下载关掉试试呢,只跑一个WEB服务.会不会是软件下载引起的呢?

deathkiss

好的，我按照你的方法44。有不明白的再请教。
可是，为什么软件下载会引起类似synflood的连接呢，会不会由于迅雷等下载软件引起的？以前遇到过这样类似的例子么？：）

只是一个神话

应该是下载引起的吧,我刚刚在本机测试了一下,用迅雷下一首歌,里面好多TCP三次握手的发起者都是本机.但是端口号在不断的变.从1800-1933.和你发的图很相似.

deathkiss

谢谢版主做的测试，我把下载服务换到另一台单独的服务器上也发现了同样的问题，应该就是迅雷引起的。看来只能再从防火墙上找阻止的办法了。再次感谢！

dsdwwqq

引起这个原因很多哦

weibokejiss

我看不清楚图片啊.