250 zombie hic birsey.ve asagidakilerde bazi durumlarda bir ise yaramiyor. botnet denilen birsey vardi sanirim. psikopat arkadaslar kasmis worm gibi birsey sanirim.. dunyanin her yerinden farkli ip lerden binlerce baglanti geliyor ayni anda.
bizim sunucular bu nedenle bir kac gun kapali kalmisti. yapacak fazla birseyyok. ben en son bir php scripti ile her dakika netstat ciktisini alip 100 'den fazla connection yapmis SYN_WAIT durumundaki tipleri engelliyordum iptables ile.. profosyonel degil ama garanti cozum. 2009/2/4 Eray Aslan <[email protected]> > On 04.02.2009 15:34, Atıf CEYLAN wrote: > > Merhaba, > > syn attack için uygun korunma yöntemleri arıyorum. > > syncookies'i etkinlestirin. > # sysctl -w net.ipv4.tcp_syncookies=1 > > net.ipv4.tcp_max_syn_backlog'un 1024 olduguna emin olun > # sysctl net.ipv4.tcp_max_syn_backlog > net.ipv4.tcp_max_syn_backlog = 1024 > > iptables'da limit ve recent modullerine bakin. > > application'da yapabileceginiz birsey var mi bakin (apache'de > mod_evasive gibi) > > toplam trafiginizi 60mbit'e dusurmek bir ise yaramaz. Zaten darbogaz > olan link'den bilgisayara kadar gelmis paket (emailinizden link darbogaz > olarak anladim). Sizden gelen cevaplara gore yavaslayacaklarini > dusunmek dogru olmaz. > > Ayrica syn attack ile karsilastiginiza emin minisin? 250 zombie az adet. > > -- > Eray > > ön tarafa bu iş için > > bir donanım koyma şansım yok ve servislerin çalıştığı makine doğrudan > > internete açık. dün bu türden bir saldırı aldım ve 100 mbit'lik > > bantwidth sınırımı son haddinde zorladılar. sonunda tümümünü iptables > > ile drop ettim (250 den fazla zombi). Ancak bu oldukça manual ve cok > > sayıda farklı ip olduğunda işe yaramayacak bir yöntem. daha kötüsü tüm > > ağı meşgul ettikleri için benimde müdehalem geç oluyor. aklıma ilk gelen > > toplam trafiğimi 60 mbitlere düşürmek ve sabit iplere özel olarak geri > > kalan hattı vermek. ancak bundan öte istediğim en azından 3-5 bin > > zombilik saldırıları önleyebilmek. iptables ile aynı ipden gelen > > isteklere zaman sınırı vs.. koymak istedim ancak ip aralığı fazla > > olduğunda cok işe yaramaz gibi geliyor ki dün malesef yaramadı. başka > > çözüm önerisi, yazılım önerisi olan varmı? > > > > kolay gelsin. > > > > -- > > /** > > * @author Atıf CEYLAN > > * Software Developer > > * http://www.atifceylan.com > > */ > > > > > > ------------------------------------------------------------------------ > > > > _______________________________________________ > > Linux-guvenlik mailing list > > [email protected] > > http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik > > _______________________________________________ > Linux-guvenlik mailing list > [email protected] > http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik >
_______________________________________________ Linux-guvenlik mailing list [email protected] http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
