远程端口、Web端口看到SYN_RECEIVED状态要注意,可能是泛洪攻击
之前遇到个case,远程不上,在机器内部远程127.0.0.1报错,是直接报错的那种,不弹黄色的那个
尝试各种办法都不行,以为是系统出问题,毕竟127.0.0.1都不行嘛,127.0.0.1不行,那远程外网IP肯定不行,后来换个端口好了,别的端口都没有SYN_RECEIVED 状态的远程记录,一切到3389端口,就有SYN_RECEIVED,这种跟暴力破解事件ID4625的有区别,如果单单过滤4625,是看不出问题的,因为过滤到的4625并不多。
再举个SYN_RECEIVED的例子:
上面的2个case,2个方案:
①从安全组上禁止过滤到的来源IP(段)
②换端口,比如换远程端口后,在安全组放行新端口时指定客户端IP(段)