我們的網路遊戲採用tcp進行通訊,服務端程式繫結8300埠,為遊戲客戶端提供服務,遊戲已經上線穩定執行兩年多,從今年9月份開始至今碰到了3次攻擊,3次攻擊所導致的情況一樣,描述如下:
(1)從應用層上來看,攻擊者每次攻擊時,與8300埠都有建立最多兩、三百個tcp連線。
(2)從防火牆監控來看,攻擊的流量非常微小,以至於防火牆的流量報警都未觸發。
(3)每次攻擊產生時,原先的玩家的tcp連線並未斷開(應用程式未丟擲tcp連線斷開的異常),但服務端的再也接收不到來自客戶端的任何訊息。服務端程序的cpu飆到100%,而記憶體使用未發現異常。
(4)而且服務端也從未接收到來自攻擊者的tcp連線的任何訊息。
(5)重啟服務端程式後,一切恢復正常。
我們的動作以及思考:
(1)第一次攻擊發生時,我們的第一反應是程式的問題,於是詳細檢查程式**,並使用文字日誌定時記錄程式每個執行緒的狀態(每5秒鐘一次),排除了這一可能性。也就是說,在攻擊的過程中,服務端內的各個執行緒的執行都是正常的。(後來,我們進一步確認了這一點 -- 我們在遊戲伺服器前加了乙個簡單的tcp**伺服器
,遊戲伺服器不再對外暴露,所有客戶端都與**伺服器連線,由**伺服器在遊戲伺服器和客戶端之間**所有的資料,結果**伺服器被攻擊,**伺服器的**程式程序的cpu達到100%(也是重啟**程式即恢復正常),而遊戲伺服器程序一直正常)。
(2)後來我們對tcp半連線進行了監控,排除了基於tcp的半連線攻擊。 根據防火牆正常的流量日誌,也排除了流量攻擊。
(3)接下來,我們開始懷疑攻擊者攻擊的是tcp/ip協議棧(也許是根據tcp/ip的一些漏洞進行攻擊),而導致作業系統在處理底層的tcp/ip資料報時,陷入忙碌的狀態,而導致cpu 100%,而當底層陷入忙碌的時候,來自客戶端的正常訊息就來不及接收或者來不及提交到應用層(即我們的服務端程式)了。
我們還未確定,攻擊的方式究竟是什麼?以前我們碰到的大多是流量攻擊,而針對這種低頻寬的攻擊或tcp/ip漏洞攻擊,沒有任何經驗。不知哪位大俠碰到過類似的情況,能夠指點一二,感激不盡了,呵呵
附:我在網上找到了一些可能與我們的攻擊有關係的tcp/ip攻擊相關的資料,與大家共享一下:
(1)tcp協議堵塞視窗演算法攻擊技術 :
(2)tcp rst攻擊 :
(3)低速率拒絕服務攻擊原理 :
(4)tcp漏洞可導致致命dos攻擊 :
(5)淚滴攻擊 :
(6)land攻擊 :
敬請了解:
esframework通訊框架striveengine輕量級通訊引擎oaus 自動公升級系統
TCP IP 協議 協議棧
tcp ip協議棧 整個協議棧被分為了四層,每一層協議負責不同的功能 鏈路層 負責處理物理介面的細節,接受傳送的都是位元流,鏈路層主要有三個目的 1.為ip模組傳送和接收i p資料報 2.為arp模組傳送arp請求和接收arp應答 3.為rarp傳送rarp請求和接收rarp應答 網路層 用來處理網...
TCP IP協議 TCP IP協議棧及框架
tcp ip協議同iso osi模型一樣,也可以安排成棧形式。但這個棧不同於iso osi版本,比iso osi棧少,所以又稱之為短棧。另外,需要知道的是 tcp ip協議棧只是許多支援iso osi分層模型協議棧的一種,是乙個具體的協議棧。對於tcp ip協議棧劃分為幾層更合適,多年來專家們一直未...
TCP IP協議 TCP IP協議棧及框架
1 基於4層的tcp ip協議棧基本描述 基於4層的tcp ip協議棧最具說服力的是 這一觀點是由tcp ip原始標準的創立者 美國國防部提出的,它與iso osi參考模型的對應關係如下圖 圖1 tcp ip協議棧層次結構與iso osi參考模型的對應關係 如圖1所示,tcp ip協議棧從低層開始,...