web-dev-qa-db-ja.com

送信するツールTCP RSTフラグ

昨日以来、サーバーへの奇妙なトラフィックがあり、時間の経過とともにすべてのメモリを消費しています。これはパターンです:

  time (sec)  info                                                                                                          
----------------------------------------------------------------------------------------------------------------------------
           0  44138 → 443 [SYN] Seq=0 Win=14600 Len=0 MSS=1460 SACK_PERM=1 TSval=1752131598 TSecr=0 WS=128                  
 0.000032400  443 → 44138 [SYN, ACK] Seq=0 Ack=1 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 TSval=36699323 TSecr=1752131598 
 0.000223800  44138 → 443 [ACK] Seq=1 Ack=1 Win=14720 Len=0 TSval=1752131599 TSecr=36699323                                 
 0.001124900  44138 → 443 [RST, ACK] Seq=1 Ack=1 Win=14720 Len=0 TSval=1752131600 TSecr=36699323

これが意図的な攻撃なのか、それとも何らかの誤動作なのかはわかりません。 これは、1秒に1回弱の頻度で、複数の異なるIPアドレスから取得されます。編集:これはIBMクラウドヘルスチェックであることが判明しました。

上記のパターンをクライアント側から複製して、開発環境で問題を再現できるようにするLinuxツールはありますか?

linuxnetworkingtcpip
1
Eugene Beresovsky

あなたは次のようにpythonでこれを行うことができます:

import socket
import struct

def client(Host, port):
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM, 0)
    s.connect((Host, port))
    l_onoff = 1                                                                                                                                                           
    l_linger = 0                                                                                                                                                          
    s.setsockopt(socket.SOL_SOCKET, socket.SO_LINGER,                                                                                                                     
                 struct.pack('ii', l_onoff, l_linger))

    s.close()

client('192.168.2.1', 80)

Tcpdumpを実行して実行すると、同じパターンが得られます。

$ Sudo tcpdump -ni ens33 -vvv Host 192.168.2.1
tcpdump: listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
21:10:57.345980 IP (tos 0x0, ttl 64, id 33312, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.37.129.48634 > 192.168.2.1.80: Flags [S], cksum 0xa901 (incorrect -> 0xf62e), seq 3198104236, win 29200, options [mss 1460,sackOK,TS val 4000553187 ecr 0,nop,wscale 7], length 0
21:10:57.348290 IP (tos 0x0, ttl 128, id 36935, offset 0, flags [none], proto TCP (6), length 44)
    192.168.2.1.80 > 192.168.37.129.48634: Flags [S.], cksum 0x9744 (correct), seq 1999779396, ack 3198104237, win 64240, options [mss 1460], length 0
21:10:57.348314 IP (tos 0x0, ttl 64, id 33313, offset 0, flags [DF], proto TCP (6), length 40)
    192.168.37.129.48634 > 192.168.2.1.80: Flags [.], cksum 0xa8ed (incorrect -> 0x37e2), seq 1, ack 1, win 29200, length 0
21:10:57.348591 IP (tos 0x0, ttl 64, id 33314, offset 0, flags [DF], proto TCP (6), length 40)
    192.168.37.129.48634 > 192.168.2.1.80: Flags [R.], cksum 0xa8ed (incorrect -> 0x37de), seq 1, ack 1, win 29200, length 0
2
MaQleod