Здравствуйте, Виктор. Вы писали 30 октября 2009 г., 22:08:41:
> В последние время очень участились SYN_RECV атаки на мой сервер, Син флуд наверно? > а именно на 411 и на 80 -тые порты, сама атака выглядит так: > netstat -n > tcp 0 38 80.222.225.25:411 > 212.92.221.111:1941 SYN_RECV Прислали, син, твой сервер ответил.... > и так может быть до 1-2 тысяч конектов, после чего сервер не > успевает обрабатывать запросы от другиг и тупо обрабатывает только > SYN_RECV с одного или несколькольких айпишников... Проще всего банально влепить лимит для син пакетов. У тебя и стронг и веб сервер сеть? > интересует вопрос как это заглушить, может кто поможет со скриптом, Удалить из системы модуль настройки файр волла, один пень нифига не умеет, и ручками написать пару правил с использованием модуля лимит или рецент. > я вот думал сделать некий скрипт типа netstat -n |grep SYN_RECV если от > одного айпи больше 10 syn_recv > пакетов то этот айпи вносить в текстовый файл, а текстовый файл, а > iptables заставить раз с этого файла брать айпи и дропать их, по > истечению некоторого времени файл автоматически чистить, всё это > можно сделать с помощью крон таб но как... и может кто подскажет более проше > и умнее выход... Ну не нужно так сложно. Сам иптаблс создаст такой список, и сам его будет чистить. Почитай про модуль рецент. На форуме тебе вроде уже ответили, как это в общих чертах должно выглядеть. Поймали син, занесли в список, поймали аск, выкинули из списка. Поймали много синов, забанели. А 10 это мало. 100 синов с одного айпи в секунду еще не флуд. -- С уважением, MisHel64 mailto:[email protected] _______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
