Networking TCP SYN从Linux计算机(作为客户端)到目标(服务器)的洪泛
ROB(客户端)和BOB(服务器)是用TCP建立的,一段时间后,ROB Linux机器频繁地向BOB(服务器)发送TCP[SYN]。SYN数据包是自动启动的,不会由ROB的任何服务触发。因此,BOB正在断开TCP连接 我们已经在ROB机器中启用了TCP转储,并发现了此问题Networking TCP SYN从Linux计算机(作为客户端)到目标(服务器)的洪泛,networking,tcp,linux-kernel,tcpclient,Networking,Tcp,Linux Kernel,Tcpclient,ROB(客户端)和BOB(服务器)是用TCP建立的,一段时间后,ROB Linux机器频繁地向BOB(服务器)发送TCP[SYN]。SYN数据包是自动启动的,不会由ROB的任何服务触发。因此,BOB正在断开TCP连接 我们已经在ROB机器中启用了TCP转储,并发现了此问题 如何确定谁正在将不必要的SYN启动从ROB发送给BOB > P>您可以考虑使用一段时间内已经编译到Linux的 AuditCTL/COD>内核级审计框架。它不会很漂亮,但它会创建审计记录,然后您可以通过这些记录与用户联系。例如
如何确定谁正在将不必要的SYN启动从ROB发送给BOB > P>您可以考虑使用一段时间内已经编译到Linux的<代码> AuditCTL/COD>内核级审计框架。它不会很漂亮,但它会创建审计记录,然后您可以通过这些记录与用户联系。例如:
sudo auditctl -a exit,always -F arch=b64 -S socket -F success=1
ausearch查看审核日志
sudo ausearch -sc connect
记录将包括PID、PPID和UID。您可以进一步挖掘,但是解码调用的参数需要一些努力,因为它们只是原始数据块,不会表示为实际的结构
另外,请注意,根据您的Linux版本,您可能会发现需要监视不同的系统调用。显然,-b64
也需要与您的体系结构相匹配