From: "Konstantin A. Lepikhov" <lakostis@unsafe.ru>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
Subject: Re: [Sysadmins] SYN flood
Date: Sun, 13 Jan 2008 00:58:08 +0300
Message-ID: <20080112215808.GB11277@lks.home> (raw)
In-Reply-To: <200801130016.34273.shadrinovdd@ystu.ru>
Hi Dmitriy!
Sunday 13, at 12:16:34 AM you wrote:
> Здравствуйте!
> Возникла вот такая интересная ситуация: идет DoS-атака SYN-flood на 80 порт. О
> чем свидетельствую записи в dmesg:
>
> ...
> possible SYN flooding on port 80. Sending cookies.
> possible SYN flooding on port 80. Sending cookies.
> possible SYN flooding on port 80. Sending cookies.
> possible SYN flooding on port 80. Sending cookies.
> ...
>
> такие записей много, параметры ядра в отношении SYS-cookies:
>
> [root@gw ~]# sysctl net.ipv4.tcp_syncookies
> net.ipv4.tcp_syncookies = 1
>
> Однако, несмотря на то что куки включены и 'Sending cookies'
> положительного эффекта это не оказывает - Apache практически недоступен, сайт
> хоть и откывается, но ждать приходится очень долго (до минуты), остальные
> сервисы доступны.
>
> Ядро: 2.6.18-std-smp-alt6
>
> Заблокировать атакующего не вижу возможности: он использует произвольный
> IP-адрес на каждый SYN-пакет.
>
> Может быть у меня что-то недонастроено? Нет ли у кого мыслей?
> Заранее благодарен.
>
> Вопрос актуален в любом случае, у злодея периодически рождается идея
> по'DoS'ить Apache.
жалуйтесь провадеру, пусть фильтрует гада на backbone, если конечно это
настоящий провайдер а не перекупщик.
--
WBR et al.
next prev parent reply other threads:[~2008-01-12 21:58 UTC|newest]
Thread overview: 4+ messages / expand[flat|nested] mbox.gz Atom feed top
2008-01-12 21:16 Dmitriy Shadrinov
2008-01-12 21:58 ` Konstantin A. Lepikhov [this message]
2008-01-12 22:41 ` Dmitriy Shadrinov
2008-01-13 19:11 ` Konstantin A. Lepikhov
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20080112215808.GB11277@lks.home \
--to=lakostis@unsafe.ru \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git