|
Merhaba Syn ile boyle mucadele edilmez. Oncelikle ne ile karsi karisya oldugunuzu bilmeniz ve daha sonra once gore onlem almaniz lazim. Anladigim kadari ile network sizin kontrolunuzde bu durumda calisan sunucularinizin onune en azindan opensource bir firewall sistemi kumanizi oneririm www.pfsense.org isinizi gorecektir. eger 100 Mbit syn saldirisi aldiginizi dusunuyorsaniz ve hattiniz 100 mbit ise bu durumda en azindan cift cekirdekli, kaliteli (intel chipsetli Or: IntelPro1000) ethernet kartlarina sahip en azindan 1Gb ramli bir pfsense donanimi isinizi gorecektir. kullanmadiginiz portlari , connection limiting ayarlarinizi vs pfsense uzerinden yaparsaniz arkada bulunan apache sunucunuza yapacak daha az is kalir. 2ci asamada networkunuzde neler olup bittiginizi ogrenmeniz acisindan en ondeki switchiniz uzerinde snmp olaylarini aktif hale getirip arka tarafta bu switche erisimi olan herhangi bir makina uzerine kuracaginiz cacti ile raporlarinizi tutun www.cacti.net hizli ve kolay kurulum icin cactiez isosundan faydalanabilirsiniz http://cactiusers.org/index.php (switchiniz en azindan snmp destekliyordur diye tahmin ediyorum) butun bunlardan sonra gelen syn flood hattinizi sature bile etse en azindan ne ile karsi karsiya oldugunuzu gorup ona gore onlem alabilirsiniz. Son asamada eger gelen syn saldirisi ile basetmek hic bir durumda mumkun olmaz ise biraz para harcayip donanimsal cozumlere yonelmenizi tavsiye ederim. Ben kendi networkumde Riorey cihazlarini kullaniyorum. Ucuz degiller ancak syn konusunda garantili cozum sunuyor www.riorey.com.tr adresinden inceleyebilirsiniz. Saygilarimla Emre Erim Atif CEYLAN wrote: Öncelikle SYN atağına maruz kaldığımı düşünüyorum. tüm servisleri durdurdum(ssh hariç) ve netstatta sadece SYN ler kaldı. tümü o şekilde. interface'in inputu 100 mbitleri gösteriyordu. sürekli ram artışı vardı. ben SYN atağı olduğunu düşündüm bilemiyorum :( 256 rakamı düşük olmakla birlikte kernelda max connection limitim bu ayarda olduğu için bu şekilde görünüyordu. ben netstatla syn'leri listeleyip drop ettim ve o şekilde bitirdim. toplamda sanırım 500 den fazla farklı ip vardı. arkadaşların bahsettiği değişiklikleri yaptım, Apf kurdum ancak mevcut iptables ayarlarımı apfde nasıl ayarlıyorum :) yani input -A hede hödö dediğim şekilde veya bunların bir dosyaya yazılmış haliyle iptables'a eklenmesini istiyorum. kısaca iptables ayarlarımın bir kısmını aktarmak istiyorum çünkü apf çalışırken tüm portlarım açık ve eski ayarlarım geçersiz görünüyor.iyi günler. [email protected] wrote:Linux-guvenlik listesi mesajlarını şu adrese gönderin: [email protected] World Wide Web ile üye olmak veya üyelikten çıkmak için şu sayfayı ziyaret edin: http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik veya e-posta yoluyla konusunda veya gövdesinde 'help' yazan bir mesajı şu adrese gönderin: [email protected] Bu listeyi yöneten kişiye şu adresten ulaşabilirsiniz: [email protected] Yanıt yazarken, lütfen Konu satırını düzenleyerek şu tür bir şekilden daha belirli olmasını sağlayın: "Ynt: Linux-guvenlik toplu mesajının içeriği..." Günün Konuları: 1. syn attack (Atıf CEYLAN) 2. Re: syn attack (Omer Barlas) 3. Re: syn attack (Eray Aslan) 4. Re: syn attack ([email protected]) 5. Re: syn attack (VEDAT ELÇİGİL) ---------------------------------------------------------------------- Message: 1 Date: Wed, 4 Feb 2009 15:34:07 +0200 From: Atıf CEYLAN <[email protected]> Subject: [Linux-guvenlik] syn attack To: [email protected] Message-ID: <[email protected]> Content-Type: text/plain; charset="iso-8859-9" Merhaba, syn attack için uygun korunma yöntemleri arıyorum. ön tarafa bu iş için bir donanım koyma şansım yok ve servislerin çalıştığı makine doğrudan internete açık. dün bu türden bir saldırı aldım ve 100 mbit'lik bantwidth sınırımı son haddinde zorladılar. sonunda tümümünü iptables ile drop ettim (250 den fazla zombi). Ancak bu oldukça manual ve cok sayıda farklı ip olduğunda işe yaramayacak bir yöntem. daha kötüsü tüm ağı meşgul ettikleri için benimde müdehalem geç oluyor. aklıma ilk gelen toplam trafiğimi 60 mbitlere düşürmek ve sabit iplere özel olarak geri kalan hattı vermek. ancak bundan öte istediğim en azından 3-5 bin zombilik saldırıları önleyebilmek. iptables ile aynı ipden gelen isteklere zaman sınırı vs.. koymak istedim ancak ip aralığı fazla olduğunda cok işe yaramaz gibi geliyor ki dün malesef yaramadı. başka çözüm önerisi, yazılım önerisi olan varmı? kolay gelsin. |
_______________________________________________ Linux-guvenlik mailing list [email protected] http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
