Назад | Перейти на главную страницу

Кто-то посередине атакует мою серверную машину?

Мой сервер хорошо работает около полугода. Но случилось странное (за несколько часов до этого).

Этот сервер имеет два IP-адреса 58.17.85.19 и 117.21.178.19.

Когда я перейду к http://58.17.85.19, ничего не изменилось, как раньше.

Но http://117.21.178.19 вернет «302 объект перемещен» и станет «циклом перенаправления»

Я провожу тест: ($cmd = "wget http://117.21.178.19/?xx=$RANDOM --max-redirect 0 -S --no-cache -O -")

Шаг за шагом:

NC покажи мне это ....

Сервер принимает соединение (соединение с [мой ip])

Моя связь закрыта! (Удалить fd xx из списка)

wget выгрузить ответ -> получил 302

Я знаю, что обычно NC принимает соединение, затем выгружает HTTP-запрос от клиента, и клиент будет ждать ответа. это соединение будет открываться навсегда (фактически клиент закроет соединение из-за тайм-аута), потому что NC не может дать никакого ответа.

Так...

куда пропал мой запрос?

кто отправит ответ клиенту?

какой-то вирус в моей серверной системе?

Если да, то почему в 58.17.85.19 не было этой ошибки? или...

На меня напал посредник?

Обновить:

запустить nginx на порту 8888

бегать tcpdump -vvv -i p2p1 tcp dst порт 8888 на сервере

wget порт 8888 на клиенте

вывод:

16:17:48.622315 IP (tos 0x0, ttl 52, id 13579, offset 0, flags [DF], proto TCP (6), length 60)
    123.150.23.137.34439 > moeapk.com.ddi-tcp-1: Flags [S], cksum 0x480b (correct), seq 2846877521, win 14600, options [mss 1440,sackOK,TS val 1954394 ecr 0,nop,wscale 7], length 0
16:17:48.694546 IP (tos 0x0, ttl 52, id 13580, offset 0, flags [DF], proto TCP (6), length 52)
    123.150.23.137.34439 > moeapk.com.ddi-tcp-1: Flags [.], cksum 0x26df (correct), seq 2846877522, ack 2873157145, win 115, options [nop,nop,TS val 1954466 ecr 258074469], length 0
16:17:48.697790 IP (tos 0x0, ttl 52, id 13581, offset 0, flags [DF], proto TCP (6), length 234)
    123.150.23.137.34439 > moeapk.com.ddi-tcp-1: Flags [P.], cksum 0x782d (correct), seq 0:182, ack 1, win 115, options [nop,nop,TS val 1954466 ecr 258074469], length 182
16:17:48.837835 IP (tos 0x0, ttl 52, id 13582, offset 0, flags [DF], proto TCP (6), length 52)
    123.150.23.137.34439 > moeapk.com.ddi-tcp-1: Flags [.], cksum 0x1f70 (correct), seq 182, ack 1429, win 137, options [nop,nop,TS val 1954613 ecr 258074593], length 0
***repeat 17 times like previous two line***
    123.150.23.137.34439 > moeapk.com.ddi-tcp-1: Flags [F.], cksum 0xaac6 (correct), seq 182, ack 30617, win 331, options [nop,nop,TS val 1954935 ecr 258074753], length 0
16:17:49.291838 IP (tos 0x0, ttl 52, id 13601, offset 0, flags [DF], proto TCP (6), length 52)
    123.150.23.137.34439 > moeapk.com.ddi-tcp-1: Flags [.], cksum 0xa944 (correct), seq 183, ack 30618, win 331, options [nop,nop,TS val 1955065 ecr 258075008], length 0

бегать tcpdump -vvv -i p2p1 tcp dst порт 80 и хост dst 117.21.178.19 на сервере

запустить $ cmd на клиенте

16:16:33.358800 IP (tos 0x0, ttl 52, id 5901, offset 0, flags [DF], proto TCP (6), length 60)
    123.150.23.137.39184 > moeapk.com.http: Flags [S], cksum 0x7b22 (correct), seq 3631397718, win 14600, options [mss 1440,sackOK,TS val 1879131 ecr 0,nop,wscale 7], length 0
16:16:33.417812 IP (tos 0x0, ttl 52, id 5902, offset 0, flags [DF], proto TCP (6), length 52)
    123.150.23.137.39184 > moeapk.com.http: Flags [.], cksum 0x2556 (correct), seq 3631397719, ack 4273073493, win 115, options [nop,nop,TS val 1879190 ecr 257999206], length 0
16:16:33.421014 IP (tos 0x0, ttl 127, id 54824, offset 0, flags [DF], proto TCP (6), length 40)
    123.150.23.137.39184 > moeapk.com.http: Flags [R], cksum 0x886d (correct), seq 3631397719, win 16384, length 0
***no more output. client got 302***