Идёт SYN-флуд атака. Помогите советом

11

bumokep

4 сентября 2014, 14:33

1509

Применил настройки. Практического результата не дало.

net.ipv4.tcp_max_syn_backlog = 40000

net.ipv4.tcp_synack_retries = 1

net.ipv4.tcp_syn_retries = 1

net.ipv4.tcp_syncookies = 1

net.core.somaxconn = 60000

net.ipv4.tcp_fin_timeout = 15

net.ipv4.tcp_keepalive_probes = 5

net.ipv4.tcp_keepalive_intvl = 15

net.ipv4.tcp_keepalive_time = 15

net.core.netdev_max_backlog = 40000

net.ipv4.ip_local_port_range = 1024 65535

net.ipv4.conf.default.rp_filter = 1



net.ipv4.tcp_window_scaling = 0

net.ipv4.tcp_sack = 0

net.ipv4.tcp_timestamps = 0

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_tw_reuse = 1



net.netfilter.nf_conntrack_max=400000

net.netfilter.nf_conntrack_tcp_timeout_close = 5

net.netfilter.nf_conntrack_tcp_timeout_time_wait = 5

net.netfilter.nf_conntrack_tcp_timeout_last_ack = 1

net.netfilter.nf_conntrack_tcp_timeout_close_wait = 5

net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 1

net.netfilter.nf_conntrack_tcp_timeout_established = 30

net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 1

net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 1

iptables -N syn_flood

iptables -A INPUT -p tcp --syn -j syn_flood

iptables -A syn_flood -m limit --limit 30/s --limit-burst 100 -j RETURN

iptables -A syn_flood -j DROP

K5

209

kgtu5

4 сентября 2014, 15:35

#1

что показывает

netstat -n | grep SYN_RECV | wc -l

?

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!

B

11

bumokep

4 сентября 2014, 16:10

#2

vnstat -l -i eth0

Monitoring eth0...    (press CTRL-C to stop)



   rx:      712 kbit/s   942 p/s          tx:     1.84 Mbit/s   267 p/s^C





 eth0  /  traffic statistics



                           rx         |       tx

--------------------------------------+------------------

  bytes                    25.09 MiB  |       74.76 MiB

--------------------------------------+------------------

          max            1.07 Mbit/s  |     4.42 Mbit/s

      average          636.31 kbit/s  |     1.90 Mbit/s

          min             416 kbit/s  |      876 kbit/s

--------------------------------------+------------------

  packets                     279183  |           82351

--------------------------------------+------------------

          max               1170 p/s  |         547 p/s

      average                864 p/s  |         254 p/s

          min                680 p/s  |         132 p/s

--------------------------------------+------------------

  time                  5.38 minutes

---------- Добавлено 04.09.2014 в 20:10 ----------

kgtu5, netstat -n | grep SYN_RECV | wc -l

от 30 до 100

VK

42

V2NEK

4 сентября 2014, 16:31

#3

bumokep, это не син флуд.

B

11

bumokep

4 сентября 2014, 16:32

#4

V2NEK, как определить что именно?

---------- Добавлено 04.09.2014 в 20:38 ----------

ServerLimit 30
MaxClients 30

при этом апачей в топе 4-5 процессов

VK

42

V2NEK

4 сентября 2014, 16:46

#5

bumokep, Объясните, пожалуйста, как Вы решили, что у Вас что-то не то с сервером.

B

11

bumokep

4 сентября 2014, 16:50

#6

По статистике - провал. Сайт не открывается. netstat -n | grep SYN_RECV | wc -l (до 150, при норме 0 и не больше 5) - Список IP Китай, Вьетнам...

VK

42

V2NEK

4 сентября 2014, 16:51

#7

bumokep, что в syslog, messages в конце?

B

11

bumokep

4 сентября 2014, 17:02

#8

Это в коце в syslog файла

Sep 4 20:55:01 mysite /USR/SBIN/CRON[3376]: (user) CMD (cron)
Sep 4 20:55:44 mysite kernel: [ 183.988333] possible SYN flooding on port 80. Sending cookies.
Sep 4 20:56:01 mysite /USR/SBIN/CRON[4540]: (user) CMD (cron)
Sep 4 20:56:01 mysite /USR/SBIN/CRON[4542]: (user) CMD (cron)
Sep 4 20:56:44 mysite kernel: [ 243.993420] possible SYN flooding on port 80. Sending cookies.
Sep 4 20:57:01 mysite /USR/SBIN/CRON[4586]: (user) CMD (cron)
Sep 4 20:57:01 mysite /USR/SBIN/CRON[4588]: (user) CMD (cron)
Sep 4 20:57:44 mysite kernel: [ 303.998150] possible SYN flooding on port 80. Sending cookies.
Sep 4 20:58:01 mysite /USR/SBIN/CRON[4866]: (user) CMD (cron)
Sep 4 20:58:01 mysite /USR/SBIN/CRON[4868]: (user) CMD (cron)
Sep 4 20:58:44 mysite kernel: [ 364.001658] possible SYN flooding on port 80. Sending cookies.

364

pupseg

4 сентября 2014, 18:33

#9

tail -f /var/log/nginx/access.log что сыпет ? прервать по ctrl+C,

tcpdump -A -s0 -ni eth0 port 80 | grep Host

что сыпет ?

Качественная помощь в обслуживании серверов. (/ru/forum/661100) Бесплатных консультаций не даю, не помогаю, не обучаю. Минималка от 100$. Как пропатчить KDE-просьба не спрашивать. Есть форумы (http://linux.org.ru) и полезные сайты (http://www.opennet.ru/).

B

11

bumokep

4 сентября 2014, 19:00

#10

Да, это оказался не SYN флуд, а массированный DDoS ((

Если я правильно понял, то если соединение дошло до nginx, то это уже не просто флуд

Кусочек лога после блокировки по GEO

5.18.187.95 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://1xt98rqtg6r4c1.com/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.418422; .NET CLR 3.5.418422; .NET CLR 3.0.418422" -
42.119.195.46 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://p2uu4i.ru/" "Opera/9.80 (Windows NT 6.1; WOW64; U; Edition Russia Local; ru) Presto/2.10.289 Version/10.01" -
96.38.97.83 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://0ksw82al7.com/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.683544; .NET CLR 3.5.683544; .NET CLR 3.0.683544" -
178.148.80.169 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://m1tixvc6f3fs.com/" "Mozilla/5.0 (Windows NT 5.1; rv:13.0) Gecko/20100101 Firefox/13.0" -
109.251.3.154 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://28z8haloh8.com/" "Mozilla/5.0 (Windows NT 5.1; rv:9.0) Gecko/20100101 Firefox/9.0" -
193.105.7.115 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://81s2108e.net/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.844020; .NET CLR 3.5.844020; .NET CLR 3.0.844020" -
201.69.47.226 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://fgs1pl.org/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.975341; .NET CLR 3.5.975341; .NET CLR 3.0.975341" -
118.176.115.71 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://3t7gn6k62.com/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.172761; .NET CLR 3.5.172761; .NET CLR 3.0.172761" -
110.54.107.36 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://ltaq289md98.ua/" "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20100101 Firefox/12.0" -
79.117.164.20 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://19fr20y05r.org/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.008687; .NET CLR 3.5.008687; .NET CLR 3.0.008687" -
94.178.128.182 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://hpsdbl7co72.org/" "Mozilla/5.0 (Windows NT 5.1; WOW64; rv:15.0) Gecko/20100101 Firefox/15.0" -
95.240.102.93 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://s1mf235oh427y4.ru/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:10.0) Gecko/20100101 Firefox/10.0" -
78.178.123.255 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://1t99n0kn9.org/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.501214; .NET CLR 3.5.501214; .NET CLR 3.0.501214" -
189.172.12.217 - - [04/Sep/2014:22:13:37 +0400] "GET / HTTP/1.1" 444 0 "http://l53rzdf9c9d.ua/" "Mozilla/5.0 (Windows NT 5.1; WOW64; rv:10.0) Gecko/20100101 Firefox/10.0" -

Реферер и остальная инфа подставная. Если правильно понимаю, IP реальные и их нужно банить подсетями скриптом. Только у меня ipset не установлен в системе, только iptables. Как быть?..

iptables+ipset SYN Reflection Attak.Кто как Бан IP, альтернатива.

Все что нужно знать о DDоS-атаках грамотному менеджеру

Яндекс Вебмастер вынес товарные фиды в отдельный раздел