possível inundação de SYN na porta 80. Enviando cookies

Question

possível inundação de SYN na porta 80. Enviando cookies

#1 resposta do (5 votos)
#2 resposta do (1 votos)
#3 resposta do (1 votos)
#4 resposta do (1 votos)
#5 resposta do (1 votos)

4

Recentemente, tive um tempo de inatividade do servidor. Eu olhei em todos os lugares e a única coisa que encontrei em meus arquivos de log é:

Feb 17 18:58:04 localhost kernel: possible SYN flooding on port 80. Sending cookies.
Feb 17 18:59:33 localhost kernel: possible SYN flooding on port 80. Sending cookies.

Alguém pode me dar mais informações sobre isso? O que é, como posso depurar a causa e como posso corrigir o mesmo. Eu também postei ipconntrack de repente ficou muito grande que tem outro ponto de dados que eu achei incomum, me perguntando se as duas coisas estiverem conectadas como ocorreram exatamente ao mesmo tempo, mas em servidores diferentes. Um no proxy reverso e outro no servidor real Varnish do backend)

Obrigado

kernel linux ubuntu

por Sparsh Gupta 17.02.2011 / 21:28

5 respostas

Tags kernel linux ubuntu

Qual é o maior tamanho de mensagem que os sistemas de e-mail modernos geralmente suportam? Ferramenta de monitoramento do servidor [fechada]

score 5 · Answer 1

Syn flood é um ataque onde, na maioria dos casos, o atacante falsifica o endereço de origem do pacote criado que tenta estabelecer conexão com o servidor (porta 80, neste caso)

Se o invasor gerar muitos desses pacotes rapidamente, ele poderá esgotar o pool de conexões e, assim, impedir que usuários legítimos se conectem ao host.

TCP Syn cookies é um método que é usado para lidar melhor com situação sob ataque e, embora tenha alguns falsos negativos, muitos usuários podem acessar seu serviço (web) enquanto estiver sob um ataque de inundação SYN.

score 1 · Answer 2

Este é um ataque DDOS básico chamado ataque de inundação syn . Basicamente, um invasor usa uma botnet para abrir conexões TCP pela metade em sua máquina, disponibilizando sua tabela conntrack. Você pode se proteger contra isso usando iptables, ou até mais fácil usando um firewall como o CSF, que inclui essas regras internas. Eu escrevi sobre este aqui , e agora recomendo ConfigServer Firewall (CSF) que possui essas proteções incorporadas.

Deixe-me saber se você tem alguma dúvida específica sobre esse tipo de ataque.

score 1 · Answer 3

Esta é uma regra iptables que você pode usar rapidamente

iptables -N syn_flood
iptables -A INPUT -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN
iptables -A syn_flood -j DROP

score 1 · Answer 4

link tem um excelente artigo sobre isso. Se as conexões forem genuínas e esperadas, tente sintonizar os parâmetros do kernel net.ipv4.tcp_max_syn_backlog e net.core.somaxconn e o tamanho do backlog passado para listen () no seu aplicativo.

score 1 · Answer 5

Acima do conjunto de regras não é útil no caso de ataques SYN vem de endereço IP único, como outro tráfego legítimo irá bloquear também, como opção de limite não considerando o endereço IP único, então sugiro usar connlimit ou hashlimit.