From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <MisHel64@Bk.Ru>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: **
X-Spam-Status: No, score=2.6 required=5.0 tests=BAYES_00,HEAD_ILLEGAL_CHARS,
	SPF_PASS, SUBJECT_NEEDS_ENCODING,
	SUBJ_ILLEGAL_CHARS autolearn=no version=3.2.5
Date: Fri, 30 Oct 2009 22:31:38 +0300
From: MisHel64 <MisHel64@Bk.Ru>
X-Mailer: The Bat! (v4.1.9) Professional
Organization: home
X-Priority: 3 (Normal)
Message-ID: <7210132287.20091030223138@Bk.Ru>
To: Виктор Шумаков <oxy-schumacher@bk.ru>, 
	ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
Subject: Re: [Sysadmins] SYN_RECV флуд и защита от него
In-Reply-To: <E1N3wq1-00040f-00.oxy-schumacher-bk-ru@f143.mail.ru>
References: <E1N3wq1-00040f-00.oxy-schumacher-bk-ru@f143.mail.ru>
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit
X-Spam: Not detected
X-Mras: Ok
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Fri, 30 Oct 2009 19:31:51 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/7210132287.20091030223138@Bk.Ru/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

Здравствуйте, Виктор.

Вы писали 30 октября 2009 г., 22:08:41:

> В последние время очень участились SYN_RECV атаки на мой сервер,

Син флуд наверно?

> а  именно на 411 и на 80 -тые порты, сама атака выглядит так:
> netstat -n
> tcp        0     38 80.222.225.25:411           
> 212.92.221.111:1941         SYN_RECV  

Прислали, син, твой сервер ответил....

> и так может быть до 1-2 тысяч конектов, после чего сервер не
> успевает обрабатывать запросы от другиг и тупо обрабатывает только
> SYN_RECV с одного или несколькольких айпишников...

Проще  всего банально влепить лимит для син пакетов. У тебя и стронг и
веб сервер сеть?

> интересует вопрос как это заглушить, может кто поможет со скриптом,

Удалить  из  системы  модуль настройки файр волла, один пень нифига не
умеет,  и  ручками  написать пару правил с использованием модуля лимит
или рецент.

> я вот думал сделать некий скрипт типа netstat -n |grep SYN_RECV  если от одного айпи больше 10 syn_recv
> пакетов то этот айпи вносить в текстовый файл, а текстовый файл, а
> iptables заставить раз с этого файла брать айпи и дропать их, по
> истечению некоторого времени файл автоматически чистить, всё это
> можно сделать с помощью крон таб но как... и может кто подскажет более проше и умнее выход...

Ну  не  нужно так сложно.  Сам иптаблс создаст такой список, и сам его
будет  чистить.   Почитай про модуль рецент.  На форуме тебе вроде уже
ответили,  как  это  в  общих  чертах  должно выглядеть.  Поймали син,
занесли  в  список,  поймали  аск,  выкинули из списка.  Поймали много
синов,  забанели.   А  10 это мало.  100 синов с одного айпи в секунду
еще не флуд.

-- 
С уважением,
 MisHel64                          mailto:MisHel64@Bk.Ru