SYN Flood

есть ли действенные способы отражения Нету способов.

Всё поверхностное, и помогает при слабых атаках.

80 мбит аттака

Реж на bgp и пережидай,( если атакую айпи клиента ) если и есть способы отражения подручными средствами, это надо делать типа проксирующего сервера, но поверь, это не так просто, эта проблема давно весит и разрабатуется, именно на мощных атаках, всё трещит по швам, вся проблема в организации стека, но эта отдельная история, и когда мы это всё победим :), ты увидишь вывеску о защите серверов :)

Но всё же, если железо и канал держит, то старайся резать iptables

но не так как ты показал, а добовля в DROP

Скрипт смотрит syn_recvd

и после добовляет в Iptables -I INPIT -s ip -j DROP

http://rasw.us/?p=166

а как ты собираешься отделить нормальный трафик от ненормального?

скорее, всего у тебя нет никакого syn-flood. сейчас никто не ддосит чистыми syn-пакетами, потому что в линуксе сразу же включаются syn cookies. там наверняка полноценные http-запросы.

Так что придется блокировать IP.

tcp_syncookies включены?

Включи.

echo '1'>/proc/sys/net/ipv4/tcp_syncookies

echo '1'>/proc/sys/net/ipv4/tcp_synack_retries

echo '60'>/proc/sys/net/ipv4/tcp_keepalive_time

echo '10'>/proc/sys/net/ipv4/tcp_keepalive_intvl

echo '3'>/proc/sys/net/ipv4/tcp_keepalive_probes

echo '15'>/proc/sys/net/ipv4/tcp_fin_timeout

Тоже думаю, что сейчас чистый SYN флуд не используется.

Скоре всего у вас HTTP флуд.

Но так как ваш сервер не может ответить на все входящие запросы, вам кажется что это SYN флуд

Вот еще попробуйте

iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 2 --connlimit-mask 24 -j DROP

iptables -I INPUT -p tcp --syn --dport 80 -m hashlimit --hashlimit-above 30/minute --hashlimit-burst 3 --hashlimit-mode srcip --hashlimit-srcmask 24 --hashlimit-name blip -j DROP

В логах вебсервера запросы ботов есть?

zexis

80 мегабит,( из 100 наверное ) какие ко-ки ;) всё будет лежать ;)

ТС, как вы померили сколько мегабит у атаки?

Покажите вывод

sar -l

( apt-get install atsar )

как то так:

[ATTACH]100131[/ATTACH]

это шлюз и ОС тут стоит Centos (имеется ввиду то на чём я бьюсь с атакой) идёт она на ВДС тоже с Centos

Если шнурок до шлюза гигабит и текущий сейчас трафик является пределом для атакующего - отобъетесь. Делаете прокси до клиента, ловите на нем паразитные запросы и блокируете атакующих. Естественно, потратите порядочно времени.

Если сотка - не тратьте времени, как Вам уже писали.

PS: На zexis внимания не обращайте - он ешшо маленькой ;)

Шнурок на входе гигабит (сделали на время атаки) но железки все (шлюз свитч) на 100 ку и тут уже тяжковато но подкрутив те правила что я писал в первом посте более и менее жить легче стало, тупит конечно но всё же работает более сносно.

Сейчас постараюсь собрать пакеты что бы показать (пока атаки нет но думаю проявятся снова так как сегодня с 11 по мск она продолжалась с перерывами на 15 -20 минут для смены атакуемомго обьекта)