From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.3 (2007-08-08) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-1.2 required=5.0 tests=AWL,BAYES_00 autolearn=ham version=3.2.3 From: Dmitriy Shadrinov Organization: Yaroslavl State Technical University To: ALT Linux sysadmin discuss Date: Sun, 13 Jan 2008 00:16:34 +0300 User-Agent: KMail/1.9.6 (enterprise 0.20071123.740460) MIME-Version: 1.0 Content-Disposition: inline Message-Id: <200801130016.34273.shadrinovdd@ystu.ru> Content-Type: text/plain; charset="koi8-r" Content-Transfer-Encoding: 8bit X-Virus-Scanned: ClamAV using ClamSMTP Subject: [Sysadmins] SYN flood X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.9 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 12 Jan 2008 21:16:37 -0000 Archived-At: List-Archive: Здравствуйте! Возникла вот такая интересная ситуация: идет DoS-атака SYN-flood на 80 порт. О чем свидетельствую записи в dmesg: ... possible SYN flooding on port 80. Sending cookies. possible SYN flooding on port 80. Sending cookies. possible SYN flooding on port 80. Sending cookies. possible SYN flooding on port 80. Sending cookies. ... такие записей много, параметры ядра в отношении SYS-cookies: [root@gw ~]# sysctl net.ipv4.tcp_syncookies net.ipv4.tcp_syncookies = 1 Однако, несмотря на то что куки включены и 'Sending cookies' положительного эффекта это не оказывает - Apache практически недоступен, сайт хоть и откывается, но ждать приходится очень долго (до минуты), остальные сервисы доступны. Ядро: 2.6.18-std-smp-alt6 Заблокировать атакующего не вижу возможности: он использует произвольный IP-адрес на каждый SYN-пакет. Может быть у меня что-то недонастроено? Нет ли у кого мыслей? Заранее благодарен. Вопрос актуален в любом случае, у злодея периодически рождается идея по'DoS'ить Apache.