De um site :
iptables -A INPUT -p tcp --syn -m limit --limit 10/s --limit-burst 5 -j ACCEPT
iptables -A INPUT -p tcp --syn -j LOG
iptables -A INPUT -p tcp --syn -j DROP
Nós temos um servidor linux (Debian-Lenny) com drive de estado sólido, sem disco rígido classic. Ele é usado como um roteador, então o tráfego é apenas para encaminhamento.
Queremos monitorar as conexões para encontrar alguma inundação sincronizada. O Netstat poderia nos ajudar, mas temos muito tráfego, quase em torno de 150 Mbit / s, e o netstat que procura em '/ proc / net' bloqueia o tráfego, então não é um método que podemos usar. Na verdade, usamos regras de iptables com 'hashlimit- *' para verificar se: a partir de uma fonte, não há muitas conexões por minuto. Mas não é fácil de ajustar, pois o que é 'demais' para alguma rede atrás de nós.
Alguém tem idéia do que podemos fazer?
Obrigado pela ajuda,
De um site :
iptables -A INPUT -p tcp --syn -m limit --limit 10/s --limit-burst 5 -j ACCEPT
iptables -A INPUT -p tcp --syn -j LOG
iptables -A INPUT -p tcp --syn -j DROP
A resposta da PP é muito boa, mas você pode não querer implementar a regra "DROP" no final até ter certeza de que o tráfego está caindo. Monitore a regra LOG e verifique se você não está ignorando o tráfego legítimo.
Se você está preocupado com as inundações-syn, você pode querer olhar para a ativação de syn-cookies. Os cookies Syn atenuam o problema de preencher sua tabela de conexões com conexões semiabertas. Uma boa descrição está no link