Титла: SYN атака - спиране Публикувано от: vylcho в Oct 16, 2009, 22:44 Здравейте,
Сървъра ми е атакуван с SYN attack на порт 80 , а хостинг компанията не можа да направи нищо след отправено мое запитване. Пакетите са IP spoof-нати , а всичко намерено в гоогле беше до ограничаване на броя SYN заявки по време, което спира реалните потребители и сайта е неизползваем. SYN cookies не помогат, както и множество настройки които опитахме вкл. на net.ipv4.tcp_max_syn_backlog . Блокирането по IP-та помага за кратко тъй като са spoof-нати. Моля за някакъв съвет , ако някой се е сблъсквал с такъв проблем Титла: Re: SYN атака - спиране Публикувано от: ntrance в Oct 16, 2009, 22:51 Бутона търси прави чудеса.!!!
Титла: Re: SYN атака - спиране Публикувано от: VladSun в Oct 16, 2009, 23:20 Какво още си опитвал? SYN COOKIE би трябвало да е помогнало. tcp_synack_retries?
Титла: Re: SYN атака - спиране Публикувано от: knemo в Oct 17, 2009, 11:05 SYN, DDOS и DOS не може да се предотвартят от теб. Говори с доставчика ако не ти обърне внимание го смени :)
Хората постепено ще разберат каква е разликата м/у квартален интернет и бизнес !!! Титла: Re: SYN атака - спиране Публикувано от: ntrance в Oct 17, 2009, 12:26 SYN, DDOS и DOS не може да се предотвартят от теб. Говори с доставчика ако не ти обърне внимание го смени :)Тук грешиш! Титла: Re: SYN атака - спиране Публикувано от: knemo в Oct 17, 2009, 15:15 Еми добре ако греша кажи ми на човека как тъкмо и аз да знам :)
Титла: Re: SYN атака - спиране Публикувано от: ntrance в Oct 18, 2009, 14:58 google.com BLOCK SYN FLOOD !!! Първа страница! Първи ред!!!
http://lists.netfilter.org/pipermail/netfilter/2001-August/025442.html Има доста начини Титла: Re: SYN атака - спиране Публикувано от: knemo в Oct 18, 2009, 18:40 google.com BLOCK SYN FLOOD !!! Първа страница! Първи ред!!!Обичам като някой ми даде линк в Google. Аз мога да ти дам 1000000 линка по темата и нито един който решава проблема. Пак ти казвам при атака с споофед ип нищо не може да направиш локално освен ако решиш дане си загасиш машината. Титла: Re: SYN атака - спиране Публикувано от: VladSun в Oct 18, 2009, 18:58 Чак пък нищо - има неща, които помагат. Макар и да съм съгласен, че synflood с показаното по-горе iptables решение води до DoS
http://www.securityfocus.com/infocus/1729 Цитат SYN cookies protection is especially useful when the system is under a SYN flood attack and source IP addresses of SYN packets are also forged (a SYN spoofing attack). Титла: Re: SYN атака - спиране Публикувано от: SK0RP10N в Oct 18, 2009, 22:13 Код: echo "1" > /proc/syncookies Титла: Re: SYN атака - спиране Публикувано от: vylcho в Oct 19, 2009, 01:21 А всъщност SYN COOKIE + настройки на кернела не помогнаха особено. Те вероятно вършат полезна работа, но не и в моя случай в който ме атакуваха с порядък от над 150К пакета в секунда в продължение на 9 часа. Помогнаха ми правила за iptables които взаимствах от чудесната статия на Vladsun за адаптивна защитна стена. Благодаря Ти Vladsun. Незнам защо не ми предложи да видя статията ти, но се радвам че попаднах на нея. iptables + recent, hashlimit правят чудеса. А ето и линка на статията: http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=393512859&layout=clean ($2) Благодаря ти V
Титла: Re: SYN атака - спиране Публикувано от: sevdalincho в Nov 20, 2009, 13:41 какво ще кажеш за един iptables
Титла: Re: SYN атака - спиране Публикувано от: ntrance в Nov 20, 2009, 14:46 google.com BLOCK SYN FLOOD !!! Първа страница! Първи ред!!!Обичам като някой ми даде линк в Google. Аз мога да ти дам 1000000 линка по темата и нито един който решава проблема. Аз пък го спирам ....... Е има тук таме някой друг "Син" едно да са 2000 както преди друго е да са около 30 - 40 . Титла: Re: SYN атака - спиране Публикувано от: sevdalincho в Nov 20, 2009, 17:28 е аз не мога да си обесня как ще ме флоодят докато iptables-a (или някой друг firewall който ограничава(филтрирва) трафика) работи посъщото време и се дропват пакетите
Титла: Re: SYN атака - спиране Публикувано от: knemo в Nov 20, 2009, 18:03 е аз не мога да си обесня как ще ме флоодят докато iptables-a (или някой друг firewall който ограничава(филтрирва) трафика) работи посъщото време и се дропват пакетитеЕми това е проблема. Пакетите идват до иптаблес а дали се дропват или не няма значение. Те вече са ти препълнили канала за интернет :) дали ще влезат или не в твоята мрежа не оказва влиание на броя пакети дошли до теб :))) Това му е гадното на тая атака пък и всеки може да я направи което я прави още по гадна Титла: Re: SYN атака - спиране Публикувано от: sevdalincho в Nov 20, 2009, 19:42 съмняваме много ;]
Код
Титла: Re: SYN атака - спиране Публикувано от: VladSun в Nov 20, 2009, 21:06 Какво точно те съмнява, Севдалинчо ???
Титла: Re: SYN атака - спиране Публикувано от: ntrance в Nov 21, 2009, 00:34 Еи , като публикувате и решите да промените нещо като ваше поне го правите като хората ...
Пример # # allow 7000 only # $IPT -A INPUT -p tcp --destination-port 6667 -j ACCEPT # $IPT -A OUTPUT -p tcp --sport 6667 -j ACCEPT # # # allow 9000 only # $IPT -A INPUT -p tcp --destination-port 7000 -j ACCEPT # $IPT -A OUTPUT -p tcp --sport 7000 -j ACCEPT... ... Титла: Re: SYN атака - спиране Публикувано от: sevdalincho в Nov 21, 2009, 01:08 е не е болка за умиране ще си го едитна ся ;D
Титла: Re: SYN атака - спиране Публикувано от: ntrance в Nov 21, 2009, 01:49 е не е болка за умиране ще си го едитна ся ;D Firewall не е твой преди година го ползвах , и го бях взел от един форум , и го пасте на един пич. А сега ти го вземаш поне го остави оргиналния както аз направих , все пак си има автор на него. Не е коректно към човека който се е мъчил да го прави Титла: Re: SYN атака - спиране Публикувано от: dhelix в Nov 21, 2009, 11:46 @станиславчо така като гледам iptables ще ти лимитира syn пакетите - ВСИЧКИ ,което най-малкото ще доведе до деградиране на производителността.
syn-proxy е нещото,което би се борило доста по добре с този тип атаки -виж PF в *BSD.Обаче,пак не е вездесъщо,но върши доста по добра работа. Титла: Re: SYN атака - спиране Публикувано от: sevdalincho в Nov 21, 2009, 18:44 първо не съм казал никъде че аз съм го писал
второ един авер ми секурна машината един път и от тогава си го ползвам скрипта а е ако това те успокои iptables-a го имам от 2 години насам и трето не ме интересува къде кой ти бил постнал скрипта ...изтрито... ;D Редактирано, съгласно т. 6 от http://www.linux-bg.org/forum/index.php?topic=6115.0 bop_bop_mara Титла: Re: SYN атака - спиране Публикувано от: ntrance в Nov 21, 2009, 19:13 (rofl). И скрипта не е никъв secure , ако си мислиш така не прави кой знае какво. Да не кажа почти нищо. А за това кадето казваш , може и 5 години да ползвш iptables , но това не значи че знаеш имаш дори най малката напредстава как работи .Iptables си е направо отделнан наука в линукса.
Както казах следващия път когато решиш да вземеш нещо готово направено остави го реално както си е , а не да го променяш и той по пограшен начин. Тук хората пак ще ти бъдат благодарни че си намерил нещо по добре от тяхното решение. Титла: Re: SYN атака - спиране Публикувано от: sevdalincho в Nov 21, 2009, 20:23 ..изтрито... ще си трая ;D
Редактирано съгласно т. 6 от http://www.linux-bg.org/forum/index.php?topic=6115.0 bop_bop_mara Титла: Re: SYN атака - спиране Публикувано от: ROKO__ в Apr 07, 2010, 14:39 По елементарно е във /etc/sysctl.conf
# Enable TCP SYN Cookie Protection net.ipv4.tcp_syncookies = 1 запазване и sysctl -p това е Титла: Re: SYN атака - спиране Публикувано от: p3tzata_ в Apr 13, 2010, 18:06 Колеги и аз да се включа в тази интересна тема.
Ако може да ми дадете малко акъл за ipt_recent аз също изчето темата (съвета) на VladSun Не мога да сетна параметъра : Код: modprobe ipt_recentt ip_list_tot=500 Ето как пробвах защитната си стена: Код
Съдържанието на synfloog.pl Код
Ако може да датете някакви насоки ... Код
Титла: Re: SYN атака - спиране Публикувано от: dejuren в Apr 13, 2010, 21:04 Ето едни насоки: http://lists.netfilter.org/pipermail/netfilter/2002-November/039855.html
Не е много... както се каза защитата не е 100%. Става за отрязване на SYN Scan, но не ако атаката е върху специфичен порт, тъй като той трябва да се отвори. Още малко защита може с IPLimit и PSD, но панацея няма. За справка http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_9-4/syn_flooding_attacks.html Титла: Re: SYN атака - спиране Публикувано от: S1mbol в Jun 19, 2011, 18:01 Здравейте, нуждая се от помощ, имам доста сървъри за различни неща. Проблема ми идва от там, че имах написана защита от различен вид атаки, но така си мислех до преди 2-3 дена. Атакуваха ме доста зверски и всичко пада за не повече от 1-2 мин. Ако наистина някой може да помогне по въпроса ще му платя. Нуждая от помощ в рамките на часове защото губя клиенти. Благодаря предвърително за съдествието. Може да ме намерите на skype: transporter4 или на gsm: 0897 481503 Петър Димов
|