背景： 公司服务器流量发现 ddos syn 半连接攻击。

说明： ddos syn 半连接攻击，是利用 tcp 三次握手，攻击源向目标服务器发送大量 syn 数据包，在接收的 ack+syn 包后，不返回 ack 包的情况，导致目标服务器大量资源被占用。

我的排查：

     现在想找出在今年一月一号那天发起攻击的 ip 地址，通过查找 netflow 流量数据分析。         1. 使用过滤条件'flags S' -A srcip -O packets，把发送 syn 包最多的 ip 排序（如最多的地址：1.1.1.1 ）         2. "src ip 1.1.1.1 and flags A" -o "fmt:%flg"'。看看这个 ip 发送了几个 ack 数据包         3.通过判断 syn 数据包和 ack 数据包的比例判断是不是攻击 ip 

疑问： 在运行了这一天的 netflow 数据后，发现机会没有 syn 数据包和 ack 数据包大致相等的 ip，要么是 syn 数量远大于 ack， 要么是 ack 数量远大于 syn 。不明白为什么会出现这种情况，除非这些 ip 都不正常。

大佬有話說 (0)