Lidar com “possíveis inundações SYN na porta 443. Enviando cookies.”

Navegue suas respostas
1

Meu site constantemente tem vários usuários on-line o tempo todo. O servidor usa Apache / PHP, banco de dados e Memcached. No uso normal, o aplicativo funciona bem e rápido.

No entanto, o servidor parece às vezes ter ataques "SYN flooding". Eu realmente acredito / suspeito que estes são intencionais e não causados por nossos usuários legítimos. (como eles parecem acontecer quando há alguns indivíduos que registram novas contas e tentam causar problemas)

Jun 27 22:12:21 xxxx kernel: [xxxx.xxxx] possible SYN flooding on port 443. Sending cookies. Jun 27 22:13:22 xxxx kernel: [xxxx.xxxx] possible SYN flooding on port 443. Sending cookies. Jun 27 22:14:25 xxxx kernel: [xxxx.xxxx] possible SYN flooding on port 443. Sending cookies.

Infelizmente, quando isso acontece, todo o tráfego é afetado:

[Mon Jun 27 22:15:28.842067 2016] [mpm_event:error] [pid 12022:tid 132875292207712] AH00485: scoreboard is full, not at MaxRequestWorkers

Meu MaxRequestWorkers é 600. Eu o aumentei algumas vezes no passado.
Recentemente eu também tenho aumentado net.ipv4.tcp_max_syn_backlog e ListenBackLog para 5000.
Meu servidor tem 16 GB de RAM e 1 Gbps de largura de banda.

Eu não estou realmente feliz que pareça haver alguém que possa controlar facilmente se meu site está vivo ou não.
O que se pode fazer para impedir isso?

Além disso, netstat parece me fornecer os IPs conectados ao servidor agora.
É possível obter os principais IPs em um determinado momento no passado?

    
por Nuno 29.06.2016 / 00:20

1 resposta

0
  1. Syn flood é o tipo de ataque que é quase impossível de se proteger único host.

Verifique SynCookies 

cat /proc/sys/net/ipv4/tcp_syncookies

e habilite (defina para 1) se desabilitado. Isso ajuda os usuários legítimos a continuar trabalhando.

Além disso, você pode tentar definir o amante / proc / sys / net / ipv4 / tcp_synack_retries

link

  1. Sobre o IP

O Synflood geralmente usa IPs de origem aleatórios falsificados, portanto, ele não pode ser filtrado com base no IP de origem.

  1. Desde que o seu serviço seja público, qualquer pessoa pode verificar com facilidade a sua vivacidade

  2. Você pode comprar o serviço de proteção DDOS profissional. Ele usa um enorme cluster regional, DNS com reconhecimento de geolocalização, cooperação com a ISP e muito mais. Ele redireciona o tráfego de usuários limpos para o seu serviço em IP desconhecido para público (e hackers). Mas pode custar muito e pode depender da energia necessária para sobreviver e mitigar o ataque.

por 29.06.2016 / 01:42

Tags

Problema Etherchannel / Inter-vlan Exchange 2013 + Outlook 2013 - Solicitação de senha para usuários locais ao abrir o O365 Calendars