1. 抓包
这里用的tcpdump抓包,用wireshark查看和过滤。 过程就不多说了,废了很长一段时间,一直在找外国IP,然后一封就是一整段。 但是每天还是告警、投诉。期间过滤用过的过滤条件
tcp.flags.syn == 1tcp.analysis.retransmission抓到后面直接开始封主机商的IP列表,最后发现抓包找ip并封禁并无法解决遇到的问题,以为是抓包的时候攻击已经停止,但我错的离谱,攻击还在继续,我开始在服务器上用tcpdump过滤请求。
至于怎么获取asn的ip列表,可以参考ipinfo.io。如果有什么好的建议,可以在下面评论告诉我。
2. 过滤
经过之前的了解,以及