[Sysadmins] SYN_RECV флуд и защита от него

Max Ivanov ivanov.maxim на gmail.com
Чт Ноя 12 11:54:09 UTC 2009


> В последние время очень участились SYN_RECV атаки на мой сервер, а именно на 411 и на 80 -тые порты, сама атака выглядит так:
> netstat -n
> tcp        0     38 80.222.225.25:411            212.92.221.111:1941         SYN_RECV
>
> и так может быть до 1-2 тысяч конектов, после чего сервер не успевает обрабатывать запросы от другиг и тупо обрабатывает только SYN_RECV с одного или несколькольких айпишников...

Поидее включение syn cookies как раз призвано бороться с этой заразой.
Оно отправляет ответ на SYN и забывает о соединении вообще, история
обмена восстанавливается по полю serial из третьего пакета в сессии
(который пришлет валидный клиент,и скорее всего не пришлет невалидный)


Подробная информация о списке рассылки Sysadmins