Hi Dmitriy! Sunday 13, at 12:16:34 AM you wrote:
> Здравствуйте! > Возникла вот такая интересная ситуация: идет DoS-атака SYN-flood на 80 порт. > О > чем свидетельствую записи в dmesg: > > ... > possible SYN flooding on port 80. Sending cookies. > possible SYN flooding on port 80. Sending cookies. > possible SYN flooding on port 80. Sending cookies. > possible SYN flooding on port 80. Sending cookies. > ... > > такие записей много, параметры ядра в отношении SYS-cookies: > > [EMAIL PROTECTED] ~]# sysctl net.ipv4.tcp_syncookies > net.ipv4.tcp_syncookies = 1 > > Однако, несмотря на то что куки включены и 'Sending cookies' > положительного эффекта это не оказывает - Apache практически недоступен, сайт > хоть и откывается, но ждать приходится очень долго (до минуты), остальные > сервисы доступны. > > Ядро: 2.6.18-std-smp-alt6 > > Заблокировать атакующего не вижу возможности: он использует произвольный > IP-адрес на каждый SYN-пакет. > > Может быть у меня что-то недонастроено? Нет ли у кого мыслей? > Заранее благодарен. > > Вопрос актуален в любом случае, у злодея периодически рождается идея > по'DoS'ить Apache. жалуйтесь провадеру, пусть фильтрует гада на backbone, если конечно это настоящий провайдер а не перекупщик. -- WBR et al. _______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
