¿Por qué mi servidor web recibe tantos restablecimientos de TCP de algunos clientes?

Question

¿Por qué mi servidor web recibe tantos restablecimientos de TCP de algunos clientes?

#1 de Cameron Verotti (2 votos)

4

Ejecuto un servidor web y registro las conexiones que se caen. Ocasionalmente, recibo una ráfaga de paquetes TCP RST de algunos de mis clientes, como este:

Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:30 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0

¿Se trata de un ataque de inundación RST, un ataque DDOS, un ataque de restablecimiento de TCP o algún otro fenómeno?

network webserver ip tcp

pregunta user68300 13.02.2015 - 16:31

fuente

1 respuesta

Lea otras preguntas en las etiquetas network webserver ip tcp

¿Puedes robar la cookie de sesión con el ataque BREACH? Asegurar los datos del lado del cliente de los usuarios

score 2 · Answer 1

Hay algunas cosas que podrían estar sucediendo. Es posible que esto esté relacionado con ECN en los cortafuegos que puede causar esto, pero puedo asegurarle que probablemente no se trate de ningún tipo de ataque de inundación o DDOS.

Una de las razones por las que un dispositivo enviará un RST es en respuesta a la recepción de un paquete para un socket cerrado.

Es difícil dar una respuesta firme pero general, porque todas las perversiones posibles han sido visitadas en TCP desde su inicio, y todo tipo de personas podrían estar insertando RST en un intento de bloquear el tráfico.

Pero como dije antes, esto se parece más a un firewall que está generando solicitudes. No estaría preocupado. Podría hacer un análisis más detallado de ese SRC y ver quién está haciendo qué.