SYN Flood Advice

5

Hoje eu tenho lidado com um servidor sofrendo do que parecia ser um ataque de inundação SYN. Foi um pouco de pressa para colocar o site novamente on-line, por isso, fizemos estes três passos para trazer o serviço de volta a um estado utilizável. A carga do servidor foi baixa durante o ataque, por isso não derrubou o servidor, apenas atrasou os visitantes HTTP.

Agora, não acredito que isso tenha resolvido o problema, mas eles certamente resolveram os sintomas até que a inundação diminuísse.

  • Defina sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 5

  • Aumentou o prefork do Apache ServerLimit e MaxClient para 512 (de 256).

  • Defina o Apache ListenBackLog como 1024

Eu vi várias opções do iptables - limit sendo discutidas em outros lugares na web, mas concluímos que isso limitaria o tráfego legítimo, já que cada item da página solicitada (cada imagem, etc.) contaria para esse limite, impedindo que a página seja totalmente carregada.

O que as pessoas fazem nessas situações e nossa ação foi sensata, já que a carga não era um problema?

    
por Coops 29.09.2009 / 18:56

2 respostas

2

Desde que eu não sou um especialista em iptables, eu geralmente deixo um dos dois firewalls lidar com isso para mim. Ambos APF e CSF são excelentes firewalls quando se trata de proteção contra ataques SYN, bem como muitas outras maneiras pelas quais as pessoas podem atacar seu servidor.

Eu não sei sua configuração específica, mas eu usei ambos os firewalls em servidores "cPanel / DirectAdmin / Plesk" gerais, bem como alguns com serviços personalizados e funciona muito bem quando você permite as portas certas.

Separadamente, convém ativar SYN Cookies , que ajuda a reduzir os ataques em que o SYN é deixado em aberto. Ambos os scripts acima têm isso como uma opção.

    
por 29.09.2009 / 19:23
2

Eu usaria um firewall no perímetro da rede para evitar \ remediar ataques de inundação SYN (assim como DOS, DDOS, spoofing, testes de porta, sondas de espaço de endereço, etc.). Eu não quero esse tipo de coisa entrando na minha rede interna, onde vou ter que lidar com isso em uma máquina por máquina.

    
por 29.09.2009 / 19:54