it-swarm-eu.dev

TCP Peer inaspettatamente ridotto i messaggi della finestra nel registro dmesg

Riceviamo pochi messaggi come questi nel nostro dmesg log su vari server:

TCP: Peer 0000:0000:0000:0000:0000:ffff:d431:5861:56369/80 unexpectedly shrunk window 2522304441:2522312601 (repaired)
TCP: Peer 192.162.164.1:33760/60908 unexpectedly shrunk window 3159965547:3159965552 (repaired)

Mi è stato detto che si tratta di un attacco denial of service alla nostra infrastruttura. Se riesci a mantenere la TCP aperta a tempo indeterminato, puoi collegare le risorse di sistema e impedire ai client legittimi di connettersi ai tuoi server.

Come potrei effettivamente identificare se questi sono e veri e propri attacchi DOS o qualcosa di molto meno dannoso?

26
nelaaro

Ciò si verifica normalmente quando un client decide di ridurre la sua dimensione TCP dimensioni della finestra, senza che il server se lo aspetti. Questo può essere il caso in cui la frammentazione è un problema o quando il client utilizza un dispositivo incorporato con molto poco NIC. Questo è un comportamento completamente normale e probabilmente vedrai alcuni di questi pacchetti nel tuo registro. I messaggi sono solo informativi e sono usati per il debug della rete problemi.

Sarei preoccupato se vedessi centinaia di migliaia di questi pacchetti, poiché ci sono attacchi che coinvolgono la frammentazione dei pacchetti e dimensioni di finestre ridotte, ma per il resto è solo il normale tipo di rumore che dovresti aspettarti di vedere su qualsiasi rete che si affaccia su Internet. In effetti, la parte "riparata" del tuo messaggio mostra che il tuo driver di rete ha risolto il problema, cosa che di solito viene fatta concatenando i payload di due pacchetti frammentati insieme. Non dovrebbe essere affatto un problema.

31
Polynomial