迅雷导致的全连接攻击



跟往常一样检查WEB服务器的运行情况，发现有大量的IP连接，开始以为又被DOS了，但通过抓包发现属于正常IP，而Apache线程数已达最大值，网站响应速度极慢。尝试更改apache服务端口却又是正常的。检查apache的日志如下：

访问日志
124.226.250.98 – - [16/Jan/2009:13:29:58 +0800] “xecx86x07x8dxa0kxc9UcxbaE;/mx9axb0xdbv6xb0xcb{xc2bx01x8fXC;xc2qyyxcaxadxf6x15xa7#95(x9cxb6x89nSxc8Yxc7xbex0fx8d”xfe$5xf3xd50x1e{x94Gx0fxaex9ex90x17tpxecxa7/h)Ax8bxdfx9ax15x8bxffx” 400 358 “-” “-”
222.171.16.75 – - [16/Jan/2009:13:29:58 +0800] “xa6:Qrx85Excex1cxaaex1dFxb6xebx94xcexbf2xadxc5xebx11xd3xdfx9bx19%x0ex81xb4xeax16xadx9cYxdcvxe5Exb8[x1e$xb7xe0xcaxff.J xe7!xeb5xfcxe3xc0~xc8x93x9daH"fxecx0e==x95xe5lbx9fx89xf3xcbxa3x85zxacxe3x02Hxa7xf9wxcbx03_xe8xd2x1bx1a]xb16wxcaxfdx8eNxe1 -x93xefxa6xccix95x7f&xefx85`xac#xdcxc5y” 400 349 “-” “-”
……
错误日志
Invalid method in request xd7xbf_&xf5xbdzxdaA7xb0Hxc6xf1]`x19xa8gxcbxdeHxacx87x19xf3x02x8fx0fxaaxd4}+x04xfdxb0x9dxe09xcco[fx14x89xe5
……

这样的日志内容大量存在，通过网络监测软件发现内网某机器几乎占用公司所有网络带宽，检查后台进程是利用迅雷在下载，利用taskkill命令结束进程，并重启apache服务，正常！
但问题并未结束，只要内网那电脑一启用电脑，问题依旧。于是连接内网机器打开迅雷查看配置，居然发现迅雷使用的TCP端口为80端口，一下子明白为何WEB服务器连接数那么多了，迅雷真是可恶啊，更改迅雷端口后解决了TCP全连接攻击。
注: TCP全连接攻击：这种攻击是为了绕过常规防火墙的检查而设计的，一般情况下，常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力，但对于正常的TCP连接是放过的，殊不知很多网络服务程序（如：IIS、Apache等Web服务器）能接受的TCP连接数是有限的，一旦有大量的TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源被耗尽而被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此容易被追踪。