possível inundação de SYN na porta 80. Enviando cookies

4

Recentemente, tive um tempo de inatividade do servidor. Eu olhei em todos os lugares e a única coisa que encontrei em meus arquivos de log é:

Feb 17 18:58:04 localhost kernel: possible SYN flooding on port 80. Sending cookies.
Feb 17 18:59:33 localhost kernel: possible SYN flooding on port 80. Sending cookies.

Alguém pode me dar mais informações sobre isso? O que é, como posso depurar a causa e como posso corrigir o mesmo. Eu também postei ipconntrack de repente ficou muito grande que tem outro ponto de dados que eu achei incomum, me perguntando se as duas coisas estiverem conectadas como ocorreram exatamente ao mesmo tempo, mas em servidores diferentes. Um no proxy reverso e outro no servidor real Varnish do backend)

Obrigado

    
por Sparsh Gupta 17.02.2011 / 21:28

5 respostas

5

Syn flood é um ataque onde, na maioria dos casos, o atacante falsifica o endereço de origem do pacote criado que tenta estabelecer conexão com o servidor (porta 80, neste caso)

Se o invasor gerar muitos desses pacotes rapidamente, ele poderá esgotar o pool de conexões e, assim, impedir que usuários legítimos se conectem ao host.

TCP Syn cookies é um método que é usado para lidar melhor com situação sob ataque e, embora tenha alguns falsos negativos, muitos usuários podem acessar seu serviço (web) enquanto estiver sob um ataque de inundação SYN.

    
por 17.02.2011 / 21:36
1

Este é um ataque DDOS básico chamado ataque de inundação syn . Basicamente, um invasor usa uma botnet para abrir conexões TCP pela metade em sua máquina, disponibilizando sua tabela conntrack. Você pode se proteger contra isso usando iptables, ou até mais fácil usando um firewall como o CSF, que inclui essas regras internas. Eu escrevi sobre este aqui , e agora recomendo ConfigServer Firewall (CSF) que possui essas proteções incorporadas.

Deixe-me saber se você tem alguma dúvida específica sobre esse tipo de ataque.

    
por 17.02.2011 / 21:36
1

Esta é uma regra iptables que você pode usar rapidamente

iptables -N syn_flood
iptables -A INPUT -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN
iptables -A syn_flood -j DROP
    
por 15.01.2012 / 21:26
1

link tem um excelente artigo sobre isso. Se as conexões forem genuínas e esperadas, tente sintonizar os parâmetros do kernel net.ipv4.tcp_max_syn_backlog e net.core.somaxconn e o tamanho do backlog passado para listen () no seu aplicativo.

    
por 25.02.2013 / 21:16
1

Acima do conjunto de regras não é útil no caso de ataques SYN vem de endereço IP único, como outro tráfego legítimo irá bloquear também, como opção de limite não considerando o endereço IP único, então sugiro usar connlimit ou hashlimit.

    
por 23.12.2013 / 20:39