[Sysadmins] SYN_RECV флуд и защита от него

[Kharitonov A. Dmitry]

Виктор Шумаков wrote:
> Здравствуйте товарищи очень нужна ваша помощь...
>
> В последние время очень участились SYN_RECV атаки на мой сервер, а именно на 411 и на 80 -тые порты, сама атака выглядит так:
> netstat -n
> tcp        0     38 80.222.225.25:411            212.92.221.111:1941         SYN_RECV  
>
> и так может быть до 1-2 тысяч конектов, после чего сервер не успевает обрабатывать запросы от другиг и тупо обрабатывает только SYN_RECV с одного или несколькольких айпишников...
>
> интересует вопрос как это заглушить, может кто поможет со скриптом, я вот думал сделать некий скрипт типа 
> netstat -n |grep SYN_RECV  если от одного айпи больше 10 syn_recv пакетов то этот айпи вносить в текстовый файл, а текстовый файл, а iptables заставить раз с этого файла брать айпи и дропать их, по истечению некоторого времени файл автоматически чистить, всё это можно сделать с помощью крон таб но как... и может кто подскажет более проше и умнее выход...
>   
Стандартно, отбрасывать пакеты с помощью модуля limit. Можете 
попробовать приспособить мой скрипт для блокировки атак на ssh, если 
поймёте как он работает.

----------- следующая часть -----------
An embedded and charset-unspecified text was scrubbed...
Name: crackerestricted
URL: <http://lists.altlinux.org/pipermail/sysadmins/attachments/20091030/d182984f/attachment-0001.ksh>