Estratégia de proteção DDoS falsa, tamanho da janela de filtro == 0?

Navegue suas respostas
2

Eu fui atingido por uma inundação SYN que quase matou a pilha de rede do meu balanceador de carga ipvs (80k pacotes / segundo). O processo "ksoftirqd" levou 100% da CPU, a máquina quase não respondeu da rede. Um tcpdump revelou pacotes como estes: 

21:24:40.994920 IP 193.41.136.187.17435 > MY-IP.80: Flags [S], seq 3387555840, win 0, length 0
21:24:40.994940 IP 46.159.109.102.63863 > MY-IP.80: Flags [S], seq 4209573888, win 0, length 0
21:24:40.994961 IP 32.199.104.48.30346 > MY-IP.80: Flags [S], seq 512360448, win 0, length 0

Não consegui encontrar denominadores comuns na inundação, além do tamanho da janela zero, que é possivelmente um gancho para filtragem.

  1. O ksoftirqd é realmente o gargalo?
  2. Existe uma maneira de filtrar na caixa linux ANTES de atingir o bottelenck do ksoftirqd?
  3. Se não, como filtrar o tamanho da janela == 0 no meu Cisco 6509?

Obrigado!

    
por Willem 03.02.2013 / 22:45

1 resposta

0

Ok, então o gargalo acabou sendo o controle de regras / nat / connection do iptables. 

-A INPUT -p tcp -m tcp --tcp-flags SYN -m u32 --u32 0x6&0xff=0x6&&0x4&0x1fff=0x0&&0x0>>0x16&0x3c@0xc&0xffff=0x0 -j DROP

Com isso, como primeira regra, a carga na máquina caiu significativamente.

    
por 06.02.2013 / 13:53

Tags

Samba deadtime não funciona 301 Redireciona com vários servidores e registros DNS