From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00,SPF_PASS autolearn=ham version=3.2.5 From: =?koi8-r?Q?=F7=C9=CB=D4=CF=D2_=FB=D5=CD=C1=CB=CF=D7?= To: sysadmins@lists.altlinux.org Mime-Version: 1.0 X-Mailer: mPOP Web-Mail 2.19 X-Originating-IP: [80.252.245.86] Date: Fri, 30 Oct 2009 22:08:41 +0300 X-Mru-Data: 756:1:1:196:196:0 X-Priority: 1 (High) Content-Type: text/plain; charset=koi8-r Content-Transfer-Encoding: 8bit Message-Id: X-Spam: Not detected X-Mras: Ok Subject: [Sysadmins] =?koi8-r?b?U1lOX1JFQ1YgxszVxCDJINrB3cnUwSDP1CDOxcfP?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: =?koi8-r?Q?=F7=C9=CB=D4=CF=D2_=FB=D5=CD=C1=CB=CF=D7?= , ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 30 Oct 2009 19:09:06 -0000 Archived-At: List-Archive: Здравствуйте товарищи очень нужна ваша помощь... В последние время очень участились SYN_RECV атаки на мой сервер, а именно на 411 и на 80 -тые порты, сама атака выглядит так: netstat -n tcp 0 38 80.222.225.25:411 212.92.221.111:1941 SYN_RECV и так может быть до 1-2 тысяч конектов, после чего сервер не успевает обрабатывать запросы от другиг и тупо обрабатывает только SYN_RECV с одного или несколькольких айпишников... интересует вопрос как это заглушить, может кто поможет со скриптом, я вот думал сделать некий скрипт типа netstat -n |grep SYN_RECV если от одного айпи больше 10 syn_recv пакетов то этот айпи вносить в текстовый файл, а текстовый файл, а iptables заставить раз с этого файла брать айпи и дропать их, по истечению некоторого времени файл автоматически чистить, всё это можно сделать с помощью крон таб но как... и может кто подскажет более проше и умнее выход...