[Sysadmins] SYN_RECV флуд и защита от него

[MisHel64]

Здравствуйте, Виктор.

Вы писали 30 октября 2009 г., 22:08:41:

> В последние время очень участились SYN_RECV атаки на мой сервер,

Син флуд наверно?

> а  именно на 411 и на 80 -тые порты, сама атака выглядит так:
> netstat -n
> tcp        0     38 80.222.225.25:411           
> 212.92.221.111:1941         SYN_RECV  

Прислали, син, твой сервер ответил....

> и так может быть до 1-2 тысяч конектов, после чего сервер не
> успевает обрабатывать запросы от другиг и тупо обрабатывает только
> SYN_RECV с одного или несколькольких айпишников...

Проще  всего банально влепить лимит для син пакетов. У тебя и стронг и
веб сервер сеть?

> интересует вопрос как это заглушить, может кто поможет со скриптом,

Удалить  из  системы  модуль настройки файр волла, один пень нифига не
умеет,  и  ручками  написать пару правил с использованием модуля лимит
или рецент.

> я вот думал сделать некий скрипт типа netstat -n |grep SYN_RECV  если от одного айпи больше 10 syn_recv
> пакетов то этот айпи вносить в текстовый файл, а текстовый файл, а
> iptables заставить раз с этого файла брать айпи и дропать их, по
> истечению некоторого времени файл автоматически чистить, всё это
> можно сделать с помощью крон таб но как... и может кто подскажет более проше и умнее выход...

Ну  не  нужно так сложно.  Сам иптаблс создаст такой список, и сам его
будет  чистить.   Почитай про модуль рецент.  На форуме тебе вроде уже
ответили,  как  это  в  общих  чертах  должно выглядеть.  Поймали син,
занесли  в  список,  поймали  аск,  выкинули из списка.  Поймали много
синов,  забанели.   А  10 это мало.  100 синов с одного айпи в секунду
еще не флуд.

-- 
С уважением,
 MisHel64                          mailto:MisHel64 на Bk.Ru