Öncelikle SYN atağına maruz kaldığımı düşünüyorum. tüm servisleri durdurdum(ssh hariç) ve netstatta sadece SYN ler kaldı. tümü o şekilde. interface'in inputu 100 mbitleri gösteriyordu. sürekli ram artışı vardı. ben SYN atağı olduğunu düşündüm bilemiyorum :( 256 rakamı düşük olmakla birlikte kernelda max connection limitim bu ayarda olduğu için bu şekilde görünüyordu. ben netstatla syn'leri listeleyip drop ettim ve o şekilde bitirdim. toplamda sanırım 500 den fazla farklı ip vardı. arkadaşların bahsettiği değişiklikleri yaptım, Apf kurdum ancak mevcut iptables ayarlarımı apfde nasıl ayarlıyorum :) yani input -A hede hödö dediğim şekilde veya bunların bir dosyaya yazılmış haliyle iptables'a eklenmesini istiyorum. kısaca iptables ayarlarımın bir kısmını aktarmak istiyorum çünkü apf çalışırken tüm portlarım açık ve eski ayarlarım geçersiz görünüyor.
iyi günler. [email protected] wrote: > Linux-guvenlik listesi mesajlarını şu adrese gönderin: > [email protected] > > World Wide Web ile üye olmak veya üyelikten çıkmak için şu sayfayı > ziyaret edin: > http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik > veya e-posta yoluyla konusunda veya gövdesinde 'help' yazan bir mesajı > şu adrese gönderin: > [email protected] > > Bu listeyi yöneten kişiye şu adresten ulaşabilirsiniz: > [email protected] > > Yanıt yazarken, lütfen Konu satırını düzenleyerek şu tür bir şekilden > daha belirli olmasını sağlayın: "Ynt: Linux-guvenlik toplu mesajının > içeriği..." > > > > Günün Konuları: > > 1. syn attack (Atıf CEYLAN) > 2. Re: syn attack (Omer Barlas) > 3. Re: syn attack (Eray Aslan) > 4. Re: syn attack ([email protected]) > 5. Re: syn attack (VEDAT ELÇİGİL) > > > ---------------------------------------------------------------------- > > Message: 1 > Date: Wed, 4 Feb 2009 15:34:07 +0200 > From: Atıf CEYLAN <[email protected]> > Subject: [Linux-guvenlik] syn attack > To: [email protected] > Message-ID: > <[email protected]> > Content-Type: text/plain; charset="iso-8859-9" > > Merhaba, > syn attack için uygun korunma yöntemleri arıyorum. ön tarafa bu iş için bir > donanım koyma şansım yok ve servislerin çalıştığı makine doğrudan internete > açık. dün bu türden bir saldırı aldım ve 100 mbit'lik bantwidth sınırımı son > haddinde zorladılar. sonunda tümümünü iptables ile drop ettim (250 den fazla > zombi). Ancak bu oldukça manual ve cok sayıda farklı ip olduğunda işe > yaramayacak bir yöntem. daha kötüsü tüm ağı meşgul ettikleri için benimde > müdehalem geç oluyor. aklıma ilk gelen toplam trafiğimi 60 mbitlere düşürmek > ve sabit iplere özel olarak geri kalan hattı vermek. ancak bundan öte > istediğim en azından 3-5 bin zombilik saldırıları önleyebilmek. iptables ile > aynı ipden gelen isteklere zaman sınırı vs.. koymak istedim ancak ip aralığı > fazla olduğunda cok işe yaramaz gibi geliyor ki dün malesef yaramadı. başka > çözüm önerisi, yazılım önerisi olan varmı? > > kolay gelsin. > > -- /** * @author Atıf CEYLAN * Software Developer * http://www.atifceylan.com */ _______________________________________________ Linux-guvenlik mailing list [email protected] http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
