Автор Тема: SYN атака - спиране  (Прочетена 10535 пъти)

vylcho

  • Участници
  • ***
  • Публикации: 3
    • Профил
SYN атака - спиране
« -: Oct 16, 2009, 22:44 »
Здравейте,
Сървъра ми е атакуван с SYN attack на порт 80 , а хостинг компанията не можа да направи нищо след отправено мое запитване. Пакетите са IP spoof-нати , а всичко намерено в гоогле беше до ограничаване на броя SYN заявки по време, което спира реалните потребители и сайта е неизползваем. SYN cookies не помогат, както и множество настройки които опитахме вкл. на net.ipv4.tcp_max_syn_backlog . Блокирането по IP-та помага за кратко тъй като са spoof-нати.
Моля за някакъв съвет , ако някой се е сблъсквал с такъв проблем
Активен

ntrance

  • Напреднали
  • *****
  • Публикации: 696
    • Профил
Re: SYN атака - спиране
« Отговор #1 -: Oct 16, 2009, 22:51 »
Бутона търси прави чудеса.!!!
Активен

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
Re: SYN атака - спиране
« Отговор #2 -: Oct 16, 2009, 23:20 »
Какво още си опитвал? SYN COOKIE би трябвало да е помогнало. tcp_synack_retries?
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

knemo

  • Напреднали
  • *****
  • Публикации: 60
  • Distribution: Debian
  • Window Manager: n/a
  • Linux GuRu
    • Профил
    • WWW
Re: SYN атака - спиране
« Отговор #3 -: Oct 17, 2009, 11:05 »
SYN,  DDOS и DOS не може да се предотвартят от теб. Говори с доставчика ако не ти обърне внимание го смени :)

Хората постепено ще разберат каква е разликата м/у квартален интернет и бизнес !!!

Активен

Be Smart Use Linux
httр://www.gits.bg

ntrance

  • Напреднали
  • *****
  • Публикации: 696
    • Профил
Re: SYN атака - спиране
« Отговор #4 -: Oct 17, 2009, 12:26 »
SYN,  DDOS и DOS не може да се предотвартят от теб. Говори с доставчика ако не ти обърне внимание го смени :)

Хората постепено ще разберат каква е разликата м/у квартален интернет и бизнес !!!
Тук грешиш!
Активен

knemo

  • Напреднали
  • *****
  • Публикации: 60
  • Distribution: Debian
  • Window Manager: n/a
  • Linux GuRu
    • Профил
    • WWW
Re: SYN атака - спиране
« Отговор #5 -: Oct 17, 2009, 15:15 »
Еми добре ако греша кажи ми на човека как тъкмо и аз да знам :)
Активен

Be Smart Use Linux
httр://www.gits.bg

ntrance

  • Напреднали
  • *****
  • Публикации: 696
    • Профил
Re: SYN атака - спиране
« Отговор #6 -: Oct 18, 2009, 14:58 »
google.com BLOCK SYN FLOOD !!! Първа страница! Първи ред!!!
http://lists.netfilter.org/pipermail/netfilter/2001-August/025442.html

Има доста начини
Активен

knemo

  • Напреднали
  • *****
  • Публикации: 60
  • Distribution: Debian
  • Window Manager: n/a
  • Linux GuRu
    • Профил
    • WWW
Re: SYN атака - спиране
« Отговор #7 -: Oct 18, 2009, 18:40 »
google.com BLOCK SYN FLOOD !!! Първа страница! Първи ред!!!
http://lists.netfilter.org/pipermail/netfilter/2001-August/025442.html

Има доста начини
Обичам като някой ми даде линк в Google.  Аз мога да ти дам 1000000 линка по темата и нито един който решава проблема.

Пак ти казвам при атака с споофед ип  нищо не може да направиш локално освен ако решиш дане си загасиш машината.

Активен

Be Smart Use Linux
httр://www.gits.bg

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
Re: SYN атака - спиране
« Отговор #8 -: Oct 18, 2009, 18:58 »
Чак пък нищо - има неща, които помагат. Макар и да съм съгласен, че synflood с показаното по-горе iptables решение води до DoS
http://www.securityfocus.com/infocus/1729

Цитат
SYN cookies protection is especially useful when the system is under a SYN flood attack and source IP addresses of SYN packets are also forged (a SYN spoofing attack).
« Последна редакция: Oct 18, 2009, 19:21 от VladSun »
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

SK0RP10N

  • Напреднали
  • *****
  • Публикации: 216
  • Distribution: Slackware
  • Window Manager: GNOME
    • Профил
    • WWW
Re: SYN атака - спиране
« Отговор #9 -: Oct 18, 2009, 22:13 »
Код:
echo "1" > /proc/syncookies
Я пробвай с това
Активен

vylcho

  • Участници
  • ***
  • Публикации: 3
    • Профил
Re: SYN атака - спиране
« Отговор #10 -: Oct 19, 2009, 01:21 »
А всъщност SYN COOKIE + настройки на кернела не помогнаха особено. Те вероятно вършат полезна работа, но не и в моя случай в който ме атакуваха с порядък от над 150К пакета в секунда в продължение на 9 часа. Помогнаха ми правила за iptables които взаимствах от чудесната статия на Vladsun за адаптивна защитна стена. Благодаря Ти Vladsun. Незнам защо не ми предложи да видя статията ти, но се радвам че попаднах на нея. iptables + recent, hashlimit правят чудеса. А ето и линка на статията: http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=393512859&layout=clean    Благодаря ти V
Активен

sevdalincho

  • Напреднали
  • *****
  • Публикации: 29
  • Distribution: OpenSUSE 11.2
  • Window Manager: KDE 4.3.1
    • Профил
Re: SYN атака - спиране
« Отговор #11 -: Nov 20, 2009, 13:41 »
какво ще кажеш за един iptables

Активен

няма да има подпис

ntrance

  • Напреднали
  • *****
  • Публикации: 696
    • Профил
Re: SYN атака - спиране
« Отговор #12 -: Nov 20, 2009, 14:46 »
google.com BLOCK SYN FLOOD !!! Първа страница! Първи ред!!!
http://lists.netfilter.org/pipermail/netfilter/2001-August/025442.html

Има доста начини
Обичам като някой ми даде линк в Google.  Аз мога да ти дам 1000000 линка по темата и нито един който решава проблема.

Пак ти казвам при атака с споофед ип  нищо не може да направиш локално освен ако решиш дане си загасиш машината.

Аз пък го спирам ....... Е има тук таме някой друг "Син" едно да са 2000 както преди друго е да са около 30 - 40 .
Активен

sevdalincho

  • Напреднали
  • *****
  • Публикации: 29
  • Distribution: OpenSUSE 11.2
  • Window Manager: KDE 4.3.1
    • Профил
Re: SYN атака - спиране
« Отговор #13 -: Nov 20, 2009, 17:28 »
е аз не мога да си обесня как ще ме флоодят докато iptables-a (или някой друг firewall който ограничава(филтрирва) трафика) работи посъщото време и се дропват пакетите
Активен

няма да има подпис

knemo

  • Напреднали
  • *****
  • Публикации: 60
  • Distribution: Debian
  • Window Manager: n/a
  • Linux GuRu
    • Профил
    • WWW
Re: SYN атака - спиране
« Отговор #14 -: Nov 20, 2009, 18:03 »
е аз не мога да си обесня как ще ме флоодят докато iptables-a (или някой друг firewall който ограничава(филтрирва) трафика) работи посъщото време и се дропват пакетите
Еми това е проблема. Пакетите идват до иптаблес а дали се дропват или не няма значение. Те вече са ти препълнили канала за интернет :) дали ще влезат или не в твоята мрежа не оказва влиание на броя пакети дошли до теб :)))
Това му е гадното на тая атака пък и всеки може да я направи което я прави още по гадна
Активен

Be Smart Use Linux
httр://www.gits.bg