TCPピアがdmesgログのウィンドウメッセージを予期せず縮小しました
さまざまなサーバーのdmesgログに次のようなメッセージがかなり表示されます。
TCP: Peer 0000:0000:0000:0000:0000:ffff:d431:5861:56369/80 unexpectedly shrunk window 2522304441:2522312601 (repaired)
TCP: Peer 192.162.164.1:33760/60908 unexpectedly shrunk window 3159965547:3159965552 (repaired)
これらは私たちのインフラストラクチャに対するサービス拒否攻撃であると言われています。 TCP接続を無期限に開いたままにできる場合は、システムリソースを拘束し、正当なクライアントがサーバーに接続できないようにすることができます。
これらが実際のDOS攻撃なのか、それとも害の少ないものなのかを実際に識別するにはどうすればよいですか?
これは通常、クライアントがTCP=ウィンドウサイズを縮小することを決定し、サーバーがそれを予期しない場合に発生します。これは、断片化が問題である場合、またはクライアントが非常に少ないNICバッファメモリ。これは完全に正常な動作であり、ログにそのようなパケットがかなり表示される可能性があります。メッセージは情報提供のみを目的としており、ネットワークのデバッグに使用されます問題。
パケットの断片化と小さなウィンドウサイズを伴う攻撃があるため、これらのパケットが数十万個見られた場合は心配ですが、それ以外の場合は、インターネットに接続しているネットワークで予期される通常の種類のノイズにすぎません。実際、メッセージの「修復された」部分は、ネットワークドライバーが問題を修正したことを示しています。これは通常、2つの断片化されたパケットのペイロードを連結することによって行われます。まったく問題になりません。