From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <lakostis@unsafe.ru>
X-Spam-Checker-Version: SpamAssassin 3.2.3 (2007-08-08) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-1.3 required=5.0 tests=AWL,BAYES_00 autolearn=ham
	version=3.2.3
Date: Sun, 13 Jan 2008 00:58:08 +0300
From: "Konstantin A. Lepikhov" <lakostis@unsafe.ru>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
Message-ID: <20080112215808.GB11277@lks.home>
References: <200801130016.34273.shadrinovdd@ystu.ru>
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <200801130016.34273.shadrinovdd@ystu.ru>
X-Operation-System: ALT Linux Sisyphus (20071221) 2.6.22-wks-pae-alt0.9
User-Agent: Mutt/1.5.17 (2007-11-01)
Subject: Re: [Sysadmins] SYN flood
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.9
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Sat, 12 Jan 2008 21:58:18 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/20080112215808.GB11277@lks.home/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

Hi Dmitriy!

Sunday 13, at 12:16:34 AM you wrote:

> Здравствуйте!
> Возникла вот такая интересная ситуация: идет DoS-атака SYN-flood на 80 порт. О 
> чем свидетельствую записи в dmesg: 
> 
> ...
> possible SYN flooding on port 80. Sending cookies.
> possible SYN flooding on port 80. Sending cookies.
> possible SYN flooding on port 80. Sending cookies.
> possible SYN flooding on port 80. Sending cookies.
> ...
> 
> такие записей много, параметры ядра в отношении SYS-cookies:
> 
> [root@gw ~]# sysctl net.ipv4.tcp_syncookies
> net.ipv4.tcp_syncookies = 1
> 
> Однако, несмотря на то что куки включены и 'Sending cookies'
> положительного эффекта это не оказывает - Apache практически недоступен, сайт 
> хоть и откывается, но ждать приходится очень долго (до минуты), остальные 
> сервисы доступны.
> 
> Ядро: 2.6.18-std-smp-alt6
> 
> Заблокировать атакующего не вижу возможности: он использует произвольный 
> IP-адрес на каждый SYN-пакет.
> 
> Может быть у меня что-то недонастроено? Нет ли у кого мыслей?
> Заранее благодарен.
> 
> Вопрос актуален в любом случае, у злодея периодически рождается идея 
> по'DoS'ить Apache.
жалуйтесь провадеру, пусть фильтрует гада на backbone, если конечно это
настоящий провайдер а не перекупщик.

-- 
WBR et al.