问题现象

1、 Pubwin WEB 管理后台无法打开：

网吧端后台通过https打开提示“无法显示网页”

2、 客户端登录提示“服务返回验证合法行为空”

3、 客户端登陆提示“核心组件被拦截，不允许登陆”

二、排查过程及解决方法

1、 Web后台由https访问改成http访问，页面能正常打开。

2、 在Pubwin服务端机器上通过 netstat –an查看，发现网吧的多个443端口连接状态为 SYN_RECEIVED(DDOS的典型现象)。

注：SYN-RECEIVED：服务器端在收到和发送一个连接请求后等待对方对连接请求的确认，当服务器收到客户端发送的同步信号时，将标志位ACK和SYN置1发送给客户端，此时服务器端处于SYN_RCVD状态，如果连接成功了，就变为ESTABLISHED，正常情况下SYN_RCVD状态非常短暂。如果发现有很多SYN_RCVD状态，那你的机器有可能被SYN Flood的DoS(拒绝服务攻击)攻击了。 

SYN Flood的攻击原理是： 在进行三次握手时，攻击软件向被攻击的服务器发送SYN连接请求（握手的第一步），但是这个地址是伪造的，如攻击软件随机伪造了51.133.163.104、65.158.99.152等等地址。服务器在收到连接请求时将标志位ACK和SYN置1发送给客户端（握手的第二步），但是这些客户端的IP地址都是伪造的，服务器根本找不到客户机，也就是说握手的第三步不可能完成。 这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。此时从正常客户的角度看来，服务器失去响应，这种情况我们称做：服务器端受到了SYN Flood攻击（SYN洪水攻击）。

3、 进一步查看网吧路由器，发现网吧Pubwin服务端的443端口被映射到互联网。

4、 将路由器中的443端口映射策略删除之后重启Pubwin服务端，问题解决。

三、问题结论

网吧将服务端443端口映射到互联网之后，被SYN Flood攻击，导致端口状态异常，致使网吧Pbuwin管理端无法正常打开；同时，由于443端口问题，Pubwin客户端也无法正常连接Pubwin服务端，从而无法正常登陆。

近阶段永恒之蓝等病毒十分猖獗，同时DDOS等网络攻击日益不绝，使用Pubwin计费软件的网吧，请网吧一定要做好安全防范工作，及时打好安全补丁，同时443端口是网络常用端口，极易被黑客扫描利用，请在互联网映射时务必慎重。如果必须映射，也请映射成其他端口，并添加一定的保护措施。

我们在后续软件升级中，也将注重安全性的问题，并增加相应的保护和预警措施。