Linux 网络映射/mon工具阻塞telnet守护进程/登录进程
我们有一个嵌入式Linux内核2.6.x/Busybox系统IP摄像头/web服务器,它被一个网络映射/监视工具绊倒了,但我认为问题是一个反复探测Telnet端口的一般问题 事件顺序如下: 该工具探测端口23 我们系统的Telnet守护进程busybox telnetd生成一个新的/bin/login线程 该工具在满足于存在某些东西之后,在它既不登录也不关闭连接的过程中愉快地跳过 这种情况每N秒就会发生一次,直到有太多的套接字打开,我们的系统因为缺少套接字而无法再为网页服务,并且有数百个bin/登录进程挂起。 对于模糊性、完整日志和wireshark捕获,我深表歉意。目前,它们位于不同的PC上 在我看来,我们需要做几件事: 如果未尝试登录,请在telnet客户端/bin/login进程上设置某种超时 对telnet客户端随时可以打开的端口数进行某种限制 终止挂起/僵尸套接字TCP超时/keepalive配置? 考虑到该设备还提供网页和流式视频服务,因此对系统全局的更改可能会影响其他服务,我不完全清楚这三个方面的正确方法。我有点惊讶,Busybox似乎对世界上最慢的DDOS攻击持开放态度 编辑: 我已经想出了一个合理的方法来解决这个问题,来消除这个想法中的皱纹。基本上,只要有人登录,登录就会退出,所以当启动一个新实例时,我们可以相对不受惩罚地终止登录 该工具在满足于存在某些东西之后,在它既不登录也不关闭连接的过程中愉快地跳过 这是一个问题,实际上是一种拒绝服务攻击 这种情况每N秒就会发生一次,直到有太多的套接字打开,我们的系统因为缺少套接字而无法再为网页服务,并且有数百个bin/登录进程挂起Linux 网络映射/mon工具阻塞telnet守护进程/登录进程,linux,multithreading,sockets,networking,Linux,Multithreading,Sockets,Networking,我们有一个嵌入式Linux内核2.6.x/Busybox系统IP摄像头/web服务器,它被一个网络映射/监视工具绊倒了,但我认为问题是一个反复探测Telnet端口的一般问题 事件顺序如下: 该工具探测端口23 我们系统的Telnet守护进程busybox telnetd生成一个新的/bin/login线程 该工具在满足于存在某些东西之后,在它既不登录也不关闭连接的过程中愉快地跳过 这种情况每N秒就会发生一次,直到有太多的套接字打开,我们的系统因为缺少套接字而无法再为网页服务,并且有数百个bin/
除了停止DOS攻击之外,您可能还需要使用一些工具来缓解它。在这种特定情况下,您可能希望配置低TCP超时,从而在套接字由于另一端的不活动而打开后立即关闭套接字,因此登录过程也应该终止。好吧,让我回答我自己的问题,每次产生新的僵尸登录时,就杀死僵尸登录
解决方案是强制telnetd运行一个脚本而不是/bin/login,在这个脚本中,在运行新的/bin/login实例之前,该脚本会杀死任何其他的/bin/login实例。不太理想,但希望能解决问题。如果需要,可以完全禁用telnet访问,或者使用SSH来访问box?Pavel-我在问题中说过这是一种有效的DOS攻击,虽然如果我的调查准确的话,所有孤立的登录进程似乎都比挂起套接字更重要。据我所知,登录进程等待套接字的输入,因此如果套接字由于另一端的不活动而关闭,登录进程应该终止。