LINUX.ORG.RU
ФорумAdmin

Атака SYN

 


0

2

Всем добра.

Наблюдаю такую картину, при атаке «SYN» на s6 (сервер №6) не зависает.

При атаке на S7 сервер виснет на глухо,помогает только ребут. Скрин после ребута http://rghost.ru/7J2jhJMqZ Настройки на обоих серверах выполнены с этого мануала

http://rusua.org.ua/2013/01/07/411/

Стоят правила

iptables -N syn_flood

iptables -A INPUT -p tcp --syn -j syn_flood

iptables -A syn_flood -m limit --limit 500/s --limit-burst 1500 -j RETURN

iptables -A syn_flood -j DROP

Куда рыть? Что нужно предоставить? Помогите пожалуйста с проблемой. На уровне ДЦ решить проблему не удаётся Ответ с ДЦ: «Услуги фильтрации по объему и типу трафику мы не предоставляем.»

Вопрос, почему виснет s7, а на s6 нет?



Последнее исправление: predatorex (всего исправлений: 2)

Ядро успевает записать в лог: ″possible SYN flooding on port 80. Sending cookies.″?

Вобще вывод в терминале странный, почему нет правил для tcp, или он обрезан? И почему там такой мелкий шрифт, как вы сами это читаете?

И, емним, по умолчанию не такой большой таймаут, чтобы после прекращения атаки сервер не оживал за разумное время, так что ″помогает только ребут″ звучит подозрительно, может там аппаратная проблема, допустим сетёвка просто не выдерживат такого потока.

И эти ваши сервера железные или виртуальные?

mky ★★★★★
()
Ответ на: комментарий от mky

Да успело записать http://rghost.ru/6KVKGtZKV.view

О каких правилах TCP Вы говорите? Где их можно скопировать что бы прописать у себя?

Возможно и аппаратная, и возможно что разные сетёвки на s6 и s7 оба сервера мои (колокейшен).

После атаки и запроса мной в ДЦ что случилось, ответ был дан такой

«„Сервер включен. Сетевой линк - активен. При подключении к серверу внешнего монитора через дискретную видеокарту „нет сигнала“, как через VGA, так и через DVI-VGA переходник. Подключенная к серверу клавиатура реагирует на нажатие „Num Lock“.“»

Как сравнить эти сетевухи можно какой командой? ifcongig -a ?

predatorex
() автор топика
Ответ на: комментарий от predatorex

Может это правило мне поможет урезать скорость на 80 порт? Взял с гугла.

iptables -N bad_adress

iptables -A bad_adress -p TCP -i $INET_IFACE -s 192.168.2.43 --dport 80 -m limit --limit 2/second --limit-burst 2 -j ACCEPT

iptables -A bad_adress -p TCP -i $INET_IFACE -s 192.168.2.43 --dport 80 -j DROP

iptables -A bad_adress -p TCP -i $INET_IFACE -s 192.168.2.42 --dport 80 -m limit --limit 2/second --limit-burst 2 -j ACCEPT

iptables -A bad_adress -p TCP -i $INET_IFACE -s 192.168.2.42 --dport 80 -j DROP

Только не понятно что это за ип 192.168.2.43 и какой вписать мне?

predatorex
() автор топика
Ответ на: комментарий от predatorex

Я пишу про то, что в том руководстве, по которому вы настраивали были правила iptables с ″ -m limit ″. А в выводе ″iptables -L″ их не видно и не понятно, они у вас вобще есть и работаю ли. Хотя лучше показывать ″iptables -L -n -v -x″, чтобы и счётчики были видны.

Как сравнить эти сетевухи можно какой командой?

″lspci -v″ и там в выводе найти ″Ethernet controller″, это при условии, что сетёвки нормальные, а не через usb.

Взял с гугла.

Никакой ip. Там явно пример для локальной сети, когда там завелись какеры и пытаются зафлудить свой сервер, для интернета тот пример с ″-m limit --limit 500/s″ из руководства из первого поста. И, я надеюсь, что вы понимаете, что значат эти цифры и соотносите их с реальными возможностями сервера (кол-во обрабатываемых соединений в секунду) и понимаете, что правила iptables просто так не сохраняются при перезагрузке машины.

И я хочу уточнить, что именно у вас происходит. На ваш сервер идёт реальная атака или вы её организуете сами? И при ребуте сервера атаки уже нет, или он загружается и какое-то время работате при syn-флуде?

И, если у вас есть лог, изучайте всё что ядро туда успело написать, может там была нехватка памяти и запуск OOM-killer'а или ругательства про сетевой адаптер.

mky ★★★★★
()
Ответ на: комментарий от mky

Почистил правила iptables -L и iptables -x

Прописал эти правила

iptables -N syn_flood

iptables -A INPUT -p tcp --syn -j syn_flood

iptables -A syn_flood -m limit --limit 30/s --limit-burst 100 -j RETURN

iptables -A syn_flood -j DROP

Вот что увидел после ввода команд на проверку syn атаки

http://rghost.ru/6pm8NNbpw

Всё ли я правильно сделал, имеете ввиду правило на бан? Атака проводится не мной, не знаю кому я понадобился, но завистников хватает.

Под син флудом тачка видимо работает какое то время. Судя по ответу с ДЦ.

Да я знаю что правила не сохраняются после ребута. Знаний у меня по 10 бальной системе на 2ечку.

Айпи 51.254.44.61 OVH (франция)

predatorex
() автор топика
Ответ на: комментарий от predatorex

Сетевухи

s6

07:00.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL8111/8168B PCI Express Gigabit Ethernet controller (rev 06) Subsystem: Giga-byte Technology GA-EP45-DS5 Motherboard Flags: bus master, fast devsel, latency 0, IRQ 30 I/O ports at de00 [size=256] Memory at fbdff000 (64-bit, prefetchable) [size=4K] Memory at fbdf8000 (64-bit, prefetchable) [size=16K] Capabilities: [40] Power Management version 3 Capabilities: [50] MSI: Enable+ Count=1/1 Maskable- 64bit+ Capabilities: [70] Express Endpoint, MSI 01 Capabilities: [b0] MSI-X: Enable- Count=4 Masked- Capabilities: [d0] Vital Product Data Capabilities: [100] Advanced Error Reporting Capabilities: [140] Virtual Channel Capabilities: [160] Device Serial Number 01-00-00-00-68-4c-e0-00 Kernel driver in use: r8169 ============================================= s7

03:00.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller (rev 06) Subsystem: ASUSTeK Computer Inc. P8P67 and other motherboards Flags: bus master, fast devsel, latency 0, IRQ 41 I/O ports at d000 [size=256] Memory at f2104000 (64-bit, prefetchable) [size=4K] Memory at f2100000 (64-bit, prefetchable) [size=16K] Capabilities: [40] Power Management version 3 Capabilities: [50] MSI: Enable+ Count=1/1 Maskable- 64bit+ Capabilities: [70] Express Endpoint, MSI 01 Capabilities: [b0] MSI-X: Enable- Count=4 Masked- Capabilities: [d0] Vital Product Data Capabilities: [100] Advanced Error Reporting Capabilities: [140] Virtual Channel Capabilities: [160] Device Serial Number 00-00-00-00-00-00-00-00 Kernel driver in use: r8169

predatorex
() автор топика

Атака SYN
-m limit

Проиграл.

Какая мощность атаки?

edigaryev ★★★★★
()
Ответ на: комментарий от edigaryev

GA-EP45-DS5 P8P67

Это что за школохостинг такой?

Не совсем понял ваше выражение.

Мощность атаки не знаю. Дц не сказало, они деже атаку не увидели.

predatorex
() автор топика

Можно попробовать hashlimit совместно с Fail2ban.

backbone ★★★★★
()

Вообще это нужно делать в raw-таблице, а не в filter, иначе эти попытки коннектов будут попадать в conntrack, который можно переполнить.

vel ★★★★★
()
Ответ на: комментарий от predatorex

Гигабитные realtek'и плохо. С ними всегда проблемы, то, что на одном сервере работает, а на соседнем нет для этих сетёвок обыденная реальность. ИМХО, на сервере им не место. Но вам решать, можете погуглить по разным форумам, где описывают разные бесполезные танцны с бубном и такой сетёвкой.

Судя по выводу netstat проблемы syn-флуда у вас нет, там в выводе netstat должны быть сотни-тысячи SYN_RECV. Либо нет syn-флуда, либо механизм SYN cookies работает. Но если вас долбят http-запросами это другое. Изучайте логи http-демона, если явно есть ip-адреса от которых очень много запросов настраивайте fail2ban.

И ″-m limit --limit ...″ не правило на бан. Это общая защита, скажем так, защита от перегрузки. Если в выводе netstat есть ip-адреса от которых многовато соединений и эти адреса особо не меняются (вывод команды: netstat -t -n | sed -n 's/.*:[0-9]* *\([0-9\.]*\):.*/\1/p' | sort | uniq -c | sort -k 1,1) то можно поровать настроить для них бан по ip с помощью ″iptables -m recent --update″. Подробности в гугле.

mky ★★★★★
()
Ответ на: комментарий от mky

root@s7:~# netstat -apn | grep SYN | wc -l 4

root@s7:~# netstat -apn | grep SYN

-tcp 0 0 31.28.166.137:80 134.213.79.172:80 SYN_RECV

- tcp 0 0 31.28.166.134:80 134.213.79.172:80 SYN_RECV

- tcp 0 0 31.28.166.136:80 134.213.79.172:80 SYN_RECV

root@s7:~# netstat -t -n | sed -n 's/.*:[0-9]* *\([0-

9\.]*\):.*/\1/p' | sort | uniq -c | sort -k 1,1

1 146.66.152.10

1 208.78.164.11

1 213.5.28.12

1 31.3.193.150

1 80.77.173.45

1 93.85.85.197

14 5.196.200.248

2 195.210.46.101

26 91.200.40.103

4 134.213.79.172

516 ип сервера

8 31.131.24.132

root@s7:~#

Теперь ко мне прицепился айпи 134.213.79.172

predatorex
() автор топика
Ответ на: комментарий от predatorex

Это что за школохостинг такой?

Тот самый, в котором ты брал десктопное железо для своего хостинга игровых серверов.

Мощность атаки не знаю.

И знать не хочешь, судя по всему.

Кстати, тут на форуме есть человек с ником User01, занимающийся тем же, чем и ты, и создающий схожие по уровню тупости треды. Возможно, вам стоит объеденить усилия.

Если быть более конструктивным — по тебе плачет раздел Job.

edigaryev ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.