Ssh

執行 tcpdump 啟動 ssh flood

  • November 12, 2018

我在 PLC 中執行執行時 Linux。我的開發機器執行的是 Ubuntu 14.04。PLC和開發機通過一個五口交換機連接。我從我的開發機器 SSH 到 PLC,以傳輸我在我的開發機器上開發的網路應用程序的執行檔。

我在 PLC 上執行 tcpdump 來調試我的網路應用程序正在接收的數據包類型,但是一旦我啟動 tcpdump,就會開始大量的 ssh 同步並從我的 ubuntu 機器到 PLC 來回確認。PLC 乙太網控制器的 LED 燈以及交換機上的 LED 燈開始快速閃爍。洪水淹沒了 PLC,它幾乎消失了,而所有其他數據包都被丟棄了。每當我執行 tcpdump 時,感覺就像是 DOS 攻擊,但一旦我停止 tcpdump,一切都會平靜下來並恢復正常。

我想知道解決這個問題的方法以及為什麼會發生?

任何幫助,將不勝感激。

我的命令只是 > tcpdump -i eth0。但我不明白為什麼執行 tcpdump 會突然升級為大量流量。

試著對著鏡子對著鏡子,你會明白的。如果沒有,請嘗試對著鏡子和鏡子,並防止鏡子看到自己。

因為您的 SSH 流量也是通過 SSH 會話擷取和報告的擷取的一部分。當然,因為它是加密的,這意味著您在 SSH 數據包中看不到任何內容,但是當 tcpdump 將數據包的標頭列印到您的終端時,您的終端的這些更改正在通過網路傳輸。但是通過網路傳輸的這些更改將導致通過網路擷取/顯示/等更多數據。

無論如何,解決方案從您的擷取或客戶端電腦或兩者中過濾掉 ssh。還設置-n選項以防止 tcpdump 執行 DNS 查找,並使用與實際活動無關的 DNS 請求/回复污染您的擷取。

tcpdump -ni eth0 not port 22
tcpdump -ni eth0 not host ip.of.the.sshclient
tcpdump -ni eth0 not host ip.of.the.sshclient and not port 22

引用自:https://serverfault.com/questions/939589