TCP Peer redujo inesperadamente los mensajes de ventana en el registro dmesg

Navega tus respuestas
26

Recibimos bastantes mensajes como estos en nuestro registro de dmesg en varios servidores: 

TCP: Peer 0000:0000:0000:0000:0000:ffff:d431:5861:56369/80 unexpectedly shrunk window 2522304441:2522312601 (repaired)
TCP: Peer 192.162.164.1:33760/60908 unexpectedly shrunk window 3159965547:3159965552 (repaired)

Me han dicho que se trata de un ataque de denegación de servicio en nuestra infraestructura. Si puede mantener la conexión TCP abierta indefinidamente, puede comprometer los recursos del sistema y evitar que los clientes legítimos puedan conectarse a sus servidores.

¿Cómo podría realmente identificar si se trata de ataques DOS reales o algo menos dañino?

pregunta nelaaro 23.11.2012 - 09:34
fuente

1 respuesta

30

Esto normalmente ocurre cuando un cliente decide reducir el tamaño de la ventana de TCP, sin que el servidor lo espere. Este puede ser el caso cuando la fragmentación es un problema, o cuando el cliente está usando un dispositivo integrado con muy poca memoria intermedia NIC. Este es un comportamiento completamente normal, y es probable que veas unos cuantos paquetes de este tipo en tu registro. Los mensajes son solo informativos y se utilizan para depurar problemas de red.

Me preocuparía si viera cientos de miles de estos paquetes, ya que hay ataques que involucran fragmentación de paquetes y tamaños de ventana pequeños, pero de lo contrario, es el tipo de ruido normal que debería ver en cualquier Internet red. De hecho, la parte "reparada" de su mensaje muestra que su controlador de red solucionó el problema, que generalmente se realiza al concatenar las cargas útiles de dos paquetes fragmentados juntos. No debería ser un problema en absoluto.

    
respondido por el Polynomial 23.11.2012 - 10:26
fuente

Lea otras preguntas en las etiquetas

¿Cómo debe una aplicación almacenar sus credenciales? ¿Cómo puede un atacante usar una clave privada filtrada?