TCP: Treason uncloaked! Peer
最終更新日時:2009-04-06 16:51:04
Linux系
Linux系
dmesg等でkernelログを参照した際に、以下のようなログが出力されていることがある。
TCP: Treason uncloaked! Peer xxx.xxx.xxx.xxx:48774/80 shrinks window 1628280960:1628293532. Repaired.
どうやら上記の意味は、kernelが攻撃されているので回避したみたいな意味らしい。
そういうことであれば、このメッセージを拾って然るべきフィルタリングをしようかと思ったのだが、調べてみると本当に攻撃されたのかどうかは少々疑わしい。
例えば上記の例だとhttpで不正なアクセスがあったように見えるのだが、アクセス自体は連続で大量に来ているわけではなく(ページレベルで1回だけ来たっぽい)、単にTCPレベルでの通信が不正だったため、上記のようなログが出ていると思われる。
ちなみに、私の例だと上記のアクセスのUser-AgentはMAXTONだったのだが、このブラウザがバグっているだけではないかと推測している。
もちろん、User-Agentを騙って攻撃しているのかもしれないが、見た目正常で、かつ、単発のアクセスなので、これが不正なアクセスだとはみなせないだろう。。。
ということで、上記のログが出た際の正しい認識を知っている方、教えてください(/_\;)