RST数据出现的频率不会很高的,如果频繁发起RST连接到服务器,是有些不正常的。下面提供一个数据包供大家参考下
Sniffer分析RST数据包
-
1
在遇到的攻击中,RST也作为一种攻击的形式,由于频繁或者超多的RST连接让服务器承受不了而随之崩溃。如下图
-
2
可以看到有一个客户端频繁向服务器发起RST连接,超多。正常的一个客户端,任凭他怎么刷新都不会产生这么多的RST的,肯定是恶意发起RST的。这是看到一个比较简单的,单客户端在发起这种RST,有些是错乱IP 的。但是现在没有收到那种包的截图
-
3
可以看到RST是在48标识位是04(十六进制),在过程中记得还会有出现14(十六进制)的RST。平时这这么多的RST会做一个RST拦截防护。但这样会影响一起需要重新连接的客户端,所以最好做频率限制。
-
4
RST数据不会频繁出现,但出现超多的RST连接就要留意下,如何在防火墙里边做好防护策略,这个就要靠个人的想法了。如果实在不行,就先全部拦截了,等攻击退了再撤防护。
END
(共篇)
上一篇:NTP数据包分析
经验内容仅供参考,如果您需解决具体问题(尤其法律、医学等领域),建议您详细咨询相关领域专业人士。
作者声明:本篇经验系本人依照真实经历原创,未经许可,谢绝转载。
展开阅读全部
文章评论