[Sysadmins] SYN flood
Dmitriy Shadrinov
=?iso-8859-1?q?shadrinovdd_=CE=C1_ystu=2Eru?=
Вс Янв 13 00:16:34 MSK 2008
Здравствуйте!
Возникла вот такая интересная ситуация: идет DoS-атака SYN-flood на 80 порт. О
чем свидетельствую записи в dmesg:
...
possible SYN flooding on port 80. Sending cookies.
possible SYN flooding on port 80. Sending cookies.
possible SYN flooding on port 80. Sending cookies.
possible SYN flooding on port 80. Sending cookies.
...
такие записей много, параметры ядра в отношении SYS-cookies:
[root на gw ~]# sysctl net.ipv4.tcp_syncookies
net.ipv4.tcp_syncookies = 1
Однако, несмотря на то что куки включены и 'Sending cookies'
положительного эффекта это не оказывает - Apache практически недоступен, сайт
хоть и откывается, но ждать приходится очень долго (до минуты), остальные
сервисы доступны.
Ядро: 2.6.18-std-smp-alt6
Заблокировать атакующего не вижу возможности: он использует произвольный
IP-адрес на каждый SYN-пакет.
Может быть у меня что-то недонастроено? Нет ли у кого мыслей?
Заранее благодарен.
Вопрос актуален в любом случае, у злодея периодически рождается идея
по'DoS'ить Apache.
Подробная информация о списке рассылки Sysadmins