Nous recevons assez peu de messages comme ceux-ci dans notre journal dmesg sur divers serveurs:
TCP: Peer 0000:0000:0000:0000:0000:ffff:d431:5861:56369/80 unexpectedly shrunk window 2522304441:2522312601 (repaired)
TCP: Peer 192.162.164.1:33760/60908 unexpectedly shrunk window 3159965547:3159965552 (repaired)
On m'a dit que ce sont des attaques par déni de service contre notre infrastructure. Si vous pouvez garder la connexion TCP ouverte indéfiniment, vous pouvez bloquer les ressources système et empêcher les clients légitimes de se connecter à vos serveurs.
Comment pourrais-je réellement identifier si ce sont des attaques DOS réelles ou quelque chose de beaucoup moins dangereux?
Cela se produit normalement lorsqu'un client décide de réduire sa taille de fenêtre TCP, sans que le serveur s'y attende. Cela peut être le cas lorsque la fragmentation est un problème ou lorsque le client utilise un périphérique intégré avec très peu NIC mémoire tampon. C'est un comportement tout à fait normal, et vous verrez probablement pas mal de paquets de ce type dans votre journal. Les messages sont à titre informatif uniquement et sont utilisés pour déboguer la mise en réseau problèmes.
Je serais inquiet si vous voyiez des centaines de milliers de ces paquets, car il y a des attaques qui impliquent la fragmentation des paquets et de petites tailles de fenêtre, mais sinon c'est juste le type de bruit normal que vous devriez vous attendre à voir sur n'importe quel réseau connecté à Internet. En fait, la partie "réparée" de votre message montre que votre pilote réseau a résolu le problème, ce qui se fait généralement en concaténant ensemble les charges utiles de deux paquets fragmentés. Cela ne devrait pas être un problème du tout.