Meu servidor está recebendo SYN Flooded, eu tenho algumas perguntas

Question

Meu servidor está recebendo SYN Flooded, eu tenho algumas perguntas

#1 resposta do (0 votos)
#2 resposta do (0 votos)
#3 resposta do (0 votos)

2

meu servidor está sendo atacado, parece ser uma inundação de sincronização, e ele está falsificando IPs.

sudo netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

retorna isso.

  ...
  4 94.144.63.102
  5 91.100.45.134
  6 62.199.203.97
  7 5.175.207.98
  7 77.68.246.5
 121 87.60.164.123
1920 127.0.0.1
2428 77.66.108.158

Agora, tentei de tudo, não consigo pará-lo, parece estar vindo de datacenters.

Eu tentei banir o IP individualmente, sem uso, ele continua. Instalei o fail2ban, e o mod_security, tentei muitas configurações sem sorte, se conseguir baixar os valores pr ip para uns 30, mas depois tenho 200 ip's com 30 pedidos cada.

Agora, me inscrevi no cloud flare e movi meu DNS, mas gostaria de saber isso.

Meu site pode ser acessado através do seu IP, agora, eu sei que o cloudflare apenas roteia o tráfego através do seu DNS, mas ele não pode simplesmente inundar o IP dos meus servidores? Posso negar todo o tráfego IP direto no Apache ou o que devo fazer para impedir esse ataque?

Eu sou um desenvolvedor de software, não um administrador de servidor.

Estou executando o Debian Jessie, em uma instância amazon EC2, com o Apache2 para lidar com solicitações.

EDITAR Tenho 100% de certeza de que foi um DDOS, foi uma inundação de SYN, eu verifiquei e tive uma enorme quantidade de conexões pendentes em SYN. Mudei o servidor para trás do cloudflare e mudei o IP, funcionou. **

ddos

por Ivan 13.01.2016 / 02:03

3 respostas

Tags ddos

Que processo está causando entradas inesperadas do syslog nslcd? Postfix: excluindo e-mails com destinatários que não estão em virtual_alias_maps

score 0 · Answer 1

Você pode definir o cloudflare como proxy das conexões http, e depois não aparecerá nas entradas DNS. Isso não ajuda se o invasor já tiver seu endereço IP. Eu recomendo que você ative o proxy do cloudflare e então mude o seu endereço IP.

score 0 · Answer 2

Você pode usar o iptables para colocar os IPs na lista negra (ou usar cloudflare na whitelist, se eles estiverem fazendo proxy dos serviços da web), mas isso não impedirá a chegada dos pacotes SYN; isso significa apenas que eles não aparecerão em netstat . Além disso, pode ser mais administrador do servidor do que você deseja.

score 0 · Answer 3

** Tenho 100% de certeza de que foi um DDOS, foi uma inundação de SYN, eu verifiquei e tive uma enorme quantidade de conexões pendentes em SYN. Mudei o servidor por trás do cloudflare e mudei o IP, funcionou. ****