[Sysadmins] SYN flood

[Konstantin A. Lepikhov]

Hi Dmitriy!

Sunday 13, at 12:16:34 AM you wrote:

> Здравствуйте!
> Возникла вот такая интересная ситуация: идет DoS-атака SYN-flood на 80 порт. О 
> чем свидетельствую записи в dmesg: 
> 
> ...
> possible SYN flooding on port 80. Sending cookies.
> possible SYN flooding on port 80. Sending cookies.
> possible SYN flooding on port 80. Sending cookies.
> possible SYN flooding on port 80. Sending cookies.
> ...
> 
> такие записей много, параметры ядра в отношении SYS-cookies:
> 
> [root на gw ~]# sysctl net.ipv4.tcp_syncookies
> net.ipv4.tcp_syncookies = 1
> 
> Однако, несмотря на то что куки включены и 'Sending cookies'
> положительного эффекта это не оказывает - Apache практически недоступен, сайт 
> хоть и откывается, но ждать приходится очень долго (до минуты), остальные 
> сервисы доступны.
> 
> Ядро: 2.6.18-std-smp-alt6
> 
> Заблокировать атакующего не вижу возможности: он использует произвольный 
> IP-адрес на каждый SYN-пакет.
> 
> Может быть у меня что-то недонастроено? Нет ли у кого мыслей?
> Заранее благодарен.
> 
> Вопрос актуален в любом случае, у злодея периодически рождается идея 
> по'DoS'ить Apache.
жалуйтесь провадеру, пусть фильтрует гада на backbone, если конечно это
настоящий провайдер а не перекупщик.

-- 
WBR et al.