Re: [FreeBSD] Syn_sent attack

Tue, 29 May 2007 06:50:47 -0700 

çÎö~Ë­­ªvÓ^:ã8ç_vçNôÓ
Merhabalar,
sistem uzerinde firewall yuklu ise ip basina baglanti sinirlamasi koyarak engellemeyi denediniz mi?

PF kullaniyorsaniz asagidakine benzer bir k ural ile baglanti sayisini sinirlayarak http'nin dolmasini engellenebilir fakat gelen syn_floodlar dagitik ise sizin yapabileceginiz cok birsey yok. Ondeki ISP'nin bir koruma onlemi almasi gerekir.

table persist

pass in on $ext_if proto tcp from any to ($ext_if) port  www \
flags S/SA keep state (max-src-conn-rate 20/10, overload flush global)

block drop in log (all) quick on $ext_if from

> Selamlar,
>
> 2 gündür sevgi dolu bir ya da birkaç arkadaşın dehşetli
> saldırısına
> maruz kalıyor server.
>
> Netstat -an bu aşağıdaki sefaletle dolu
> tcp 0 1 89.149.xx.xxx:39112
> 208.65.153.251:80 SYN_SENT 5350/httpd
> tcp 0 1 89.149.xx.xxx:39118
> 208.65.153.251:80 SYN_SENT 5355/httpd
> tcp 0 1 89.149.xx.xxx:39111
> 208.65.153.251:80 SYN_SENT 5351/httpd
> tcp 0 1 89.149.xx.xxx:39128
> 208.65.153.251:80 SYN_SENT 5435/httpd
> tcp 0 1 89.149.xx.xxx:39131
> 208.65.153.251:80 SYN_SENT 5373/httpd
> tcp 0 1 89.149.xx.xxx:39130
> 208.65.153.251:80 SYN_SENT 5475/httpd
>
> Aldığım tedbirler bunlar
> sysctl -A | grep syn
> net.ipv4.tcp_max_syn_backlog = 2048
> net.ipv4.tcp_syncookies = 1
> net.ipv4.tcp_synack_retries = 2
> net.ipv4.tcp_syn_retries = 5
> fs.quota.syncs = 17
>
> Ve fakat bu alçakları durduramıyorum, httpd 30 saniye içinde tepeleme
> doluyor.
> ps aux | grep /sbin/httpd | wc -l
> 1860 process
>
> Arkada ossec çalışıyor, flood koruma çalışıyor, mod_evasive
> çalışıyor.
> Ara ara bulamadım, bi yardım medet,
>
> Gökhan
>
> ---------------------------------------------------------------------
> Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine
> bakiniz.
>
> Cikmak icin, e-mail: [EMAIL PROTECTED]
> Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
> FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
>
>
>


--
Huzeyfe ONAL
[EMAIL PROTECTED]
http://www.lifeoverip.net

Ag guvenligi listesine uye oldunuz mu?
http://netsec.huzeyfe.net 
---------------------------------------------------------------------
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz.

Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6

Cevap