web-dev-qa-db-ja.com

一部のクライアントからWebサーバーにTCPリセットが大量に送信されるのはなぜですか?

Webサーバーを実行し、ドロップされた接続をログに記録します。次のように、一部のクライアントからTCP RSTパケットのバーストが発生することがあります。

Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:29 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0
Feb 11 11:56:30 SRC=1.2.3.4 TTL=57 SPT=38383 DPT=80 WINDOW=0 RST URGP=0

これは、RSTフラッド攻撃、DDOS攻撃、TCPリセット攻撃、またはその他の現象ですか?

networkwebserveriptcp
4
user68300

いくつかのことが起こっている可能性があります。これがファイアウォールのECNに関連している可能性がありますが、おそらくどのタイプのフラッディング攻撃やDDOSでもこれを保証することはできません。

デバイスがRSTを送信する1つの理由は、閉じたソケットのパケットの受信に応答することです。

TCPの開始以来、起こり得るあらゆる不正行為にアクセスしており、あらゆる種類の人々がトラフィックをブロックするためにRSTを挿入している可能性があるため、確固たる一般的な答えを出すのは困難です。

しかし、前に述べたように、これはファイアウォールがリクエストをスローしているように見えます。私は心配する必要はないでしょう。 SRCをより詳細に調べて、だれが何をしているかを確認できます。

2
Cameron Does Things