作者:admin人气:0来源:网吧系统下载站2017-05-22 09:53:10
问题现象
1、 Pubwin WEB 管理后台无法打开:
网吧端后台通过https打开提示“无法显示网页”
2、 客户端登录提示“服务返回验证合法行为空”
3、 客户端登陆提示“核心组件被拦截,不允许登陆”
二、排查过程及解决方法
1、 Web后台由https访问改成http访问,页面能正常打开。
2、 在Pubwin服务端机器上通过 netstat –an查看,发现网吧的多个443端口连接状态为 SYN_RECEIVED(DDOS的典型现象)。
注:SYN-RECEIVED:服务器端在收到和发送一个连接请求后等待对方对连接请求的确认,当服务器收到客户端发送的同步信号时,将标志位ACK和SYN置1发送给客户端,此时服务器端处于SYN_RCVD状态,如果连接成功了,就变为ESTABLISHED,正常情况下SYN_RCVD状态非常短暂。如果发现有很多SYN_RCVD状态,那你的机器有可能被SYN Flood的DoS(拒绝服务攻击)攻击了。
SYN Flood的攻击原理是: 在进行三次握手时,攻击软件向被攻击的服务器发送SYN连接请求(握手的第一步),但是这个地址是伪造的,如攻击软件随机伪造了51.133.163.104、65.158.99.152等等地址。服务器在收到连接请求时将标志位ACK和SYN置1发送给客户端(握手的第二步),但是这些客户端的IP地址都是伪造的,服务器根本找不到客户机,也就是说握手的第三步不可能完成。 这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。此时从正常客户的角度看来,服务器失去响应,这种情况我们称做:服务器端受到了SYN Flood攻击(SYN洪水攻击)。
3、 进一步查看网吧路由器,发现网吧Pubwin服务端的443端口被映射到互联网。
4、 将路由器中的443端口映射策略删除之后重启Pubwin服务端,问题解决。
三、问题结论
网吧将服务端443端口映射到互联网之后,被SYN Flood攻击,导致端口状态异常,致使网吧Pbuwin管理端无法正常打开;同时,由于443端口问题,Pubwin客户端也无法正常连接Pubwin服务端,从而无法正常登陆。
近阶段永恒之蓝等病毒十分猖獗,同时DDOS等网络攻击日益不绝,使用Pubwin计费软件的网吧,请网吧一定要做好安全防范工作,及时打好安全补丁,同时443端口是网络常用端口,极易被黑客扫描利用,请在互联网映射时务必慎重。如果必须映射,也请映射成其他端口,并添加一定的保护措施。
我们在后续软件升级中,也将注重安全性的问题,并增加相应的保护和预警措施。
继续阅读:Pubwin
2017-05-22Pubwin客户端登陆报“服务返回验证合法性为空”问题说明
2017-04-18如何处理Pubwin服务端安装报错“1158”?
2017-04-13如何处理打开Pubwin控制台提示“TCP侦听创建失败.....”
2017-04-01如何处理pubwin控制台打开提示事件过滤器初始化失败!
2017-03-17pubwin如何处理控制台新建会员提示“年龄超过限制”?
2017-02-16如何在Pubwin连锁中心后台设置储值会员允许使用储值金购买商品?
2017-02-16如何在Pubwin连锁中心后台设置会员生日当天登录提示信息?
2017-02-16如何在Pubwin连锁中心后台设置允许会员转账?
2017-02-08pubwin会员用户如何绑定指纹?
2017-01-11如何解决pubwin控制台提示当前禁止开户,请检查服务器网络状态?