[?] Quá nhiều socket TIME_WAIT

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận hệ điều hành *nix

[?] Quá nhiều socket TIME_WAIT

[Question] Quá nhiều socket TIME_WAIT	29/07/2011 08:15:17 (+0700) \| #31 \| 244427

crazym
Member

Joined: 12/12/2010 23:03:48
Messages: 31
Offline

Tớ hiểu ý Secmask rồi và cũng biết là SYNC flood attack sẽ chỉ có các kết nối chưa hoàn thành. Vậy:

#Phía máy Attack(1 client):

TCP ***-xp:1930 10.1.1.60:http SYN_SENT
TCP ***-xp:1931 10.1.1.60:http SYN_SENT
TCP ***-xp:1932 10.1.1.60:http SYN_SENT
TCP ***-xp:1933 10.1.1.60:http SYN_SENT
TCP ***-xp:1934 10.1.1.60:http SYN_SENT

#Phía máy server:

C:\Documents and Settings\home>netstat -a | find /C "TIME_WAIT"
1345
Nếu nói không liên quan nhau sau số TIME_WAIT lên vùn vụt vậy và phải chăng tool tớ đang test không phải là SYNC flood, thôi tớ đưa link tool luôn nhé http://www.mediafire.com/?giykj25zizg)
===============================
Một ít log apache server.
===============================
10.1.1.101 - - [29/Jul/2011:09:04:42 +0700] "GET / HTTP/1.1" 500 626 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.1; .NET CLR 1.0.3705)"
10.1.1.101 - - [29/Jul/2011:09:04:42 +0700] "GET / HTTP/1.1" 500 626 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.1; .NET CLR 1.0.3705)"
10.1.1.101 - - [29/Jul/2011:09:04:42 +0700] "GET / HTTP/1.1" 500 626 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.1; .NET CLR 1.0.3705)"
=> "GET / HTTP/1.1" 500 626 " => Cái này do mình chặn bằng mod_security (SecRule Request header) vì mình nghĩ nó fake USER-AGENT

Đoạn này thực sự là tớ rối lắm, Secmask nếu rảnh thì hướng dẫn cụ thể tớ phát nhé.

_-+-__-+-__-+-__-+-__-+-_

[Question] Quá nhiều socket TIME_WAIT	29/07/2011 09:56:05 (+0700) \| #32 \| 244436

secmask
Elite Member

Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline

tớ chưa có chạy thử cái tool của bạn nhưng mà chắc không phải tool sync flood.
Thứ nhất, nó tên là httpfu**ker , http thì khỏi nói sync flood.
Thứ hai là muốn sync flood thì phải dùng raw socket, trên các bản windows gần đây đã hạn chế rất nhiều việc sử dụng raw socket, mình nhìn mấy file exe + ocx thì chắc là không qua được cửa để tạo raw socket dùng cho sync flood được rồi smilie

[Question] [?] Quá nhiều socket TIME_WAIT	02/08/2011 12:42:39 (+0700) \| #33 \| 244492

crazym
Member

Joined: 12/12/2010 23:03:48
Messages: 31
Offline

Diễn đàn bảo trì lâu quá không pm được.
Nói như Secmask đây không phải là Sync flood vậy thì nó là một kiểu attack gì? Hay là giả mạo User-agent.

_-+-__-+-__-+-__-+-__-+-_

[Question] Quá nhiều socket TIME_WAIT	03/08/2011 17:13:35 (+0700) \| #34 \| 244531

secmask
Elite Member

Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline

Http-flood thì nó tạo ra hàng loạt http request đẩy đến server, nếu server này phải thao tác với database/hoặc các thao tác chậm chạp mà không được xử lý tốt thì cũng tuơng đối vất vả smilie

[Question] [?] Quá nhiều socket TIME_WAIT	03/08/2011 21:15:31 (+0700) \| #35 \| 244540

vd_
Member

Joined: 06/03/2010 03:05:09
Messages: 124
Offline

Thêm một trường hợp có thể dẫn đến hàng loạt time wait của httpd là khi httpd bận read quá nhiều file cache của web app tạo ra. Mấy cái CMS thay vì query db để sinh html trả về client khi client request thì nó tạo sẵn html trong 1 directory, mà nếu nhiều content quá thì directory đó sẽ chứa rất nhiều file cache, httpd đọc ra để serve cho client sẽ bị treo. Bạn thử ls 1 directory có khoảng 10k-20k file sẽ thấy vấn đề.

Go to:

Users currently in here
1 Anonymous