Категорії
Linux Security

Защита от Syn Flood’a

Тестовый стенд: Centos 6.2 (kernel 2.6.32-220.4.2.el6.x86_64), apache+php+mysql

Имеем очень много соединений с состоянием SYN_RECV (syn flood):

$netstat -ntu
...
tcp 0 0 XX.XX.XX.XX:80 202.51.102.34:40700 SYN_RECV
tcp 0 0 XX.XX.XX.XX:80 190.225.143.29:40123 SYN_RECV
tcp 0 0 XX.XX.XX.XX:80 101.255.71.7:38725 SYN_RECV
tcp 0 0 XX.XX.XX.XX:80 122.226.122.201:48952 SYN_RECV
tcp 0 0 XX.XX.XX.XX:80 186.91.63.97:44343 SYN_RECV
tcp 0 0 XX.XX.XX.XX:80 109.230.156.97:56149 SYN_RECV
...

Как с ними бороться?


В первую очередь подтюнить sysctl, как это показано здесь и использовать скрипт для блокировки ненужных IP через ipset. Тупо iptables использовать нельзя, так как при блокировки больше 100 IP начинаются жуткие тормоза. И так, ставим ipset:

#yum install ipset.x86_64

После установки добавлем правило блокировки в iptables:

#iptables -I INPUT 1 -m set --match-set dos src -j DROP

где dos это наша таблица из ipset.

Создадим хешь dos:

#ipset -N dos iphash

Если нужно блокировать подсети, тогда вместо iphash используем nethash

Обязательно сохраняем iptables:

#/sbin/service iptables save

Для автоматической блокировки пишем такой скрипт и помещаем его в крон на выполнение раз в минуту:

#!/bin/bash
IFCONFIG=/sbin/ifconfig
GREP=/bin/grep
AWK=/bin/awk
CUT=/bin/cut
NETSTAT=/bin/netstat
IPSET=/usr/sbin/ipset
IPTABLES=/sbin/iptables
SORT=/bin/sort
UNIQ=/usr/bin/uniq
srvIP=`$IFCONFIG eth0 | $GREP 'inet addr' | $AWK '{print $2}' | $CUT -f2 -d ":"`
for i in `$NETSTAT -ntu | $GREP SYN_RECV | $AWK '{print $5}' | $CUT -f1 -d ":" | $SORT | $UNIQ | $GREP -v ${srvIP}`
do
$IPSET -A dos $i
done
$IPSET -S > /etc/sysconfig/ipset

Для просмотра заблокированных адресов выполняем команду

# ipset -L | head
Name: dos
Type: hash:ip
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 20104
References: 1
Members:
200.170.151.14
196.21.39.13
180.250.209.2
203.89.27.150
# ipset -L | wc -l
269

Нашёл недавно ПО ( http://synflood-defender.net/docs ) типа для защиты от атак, но не сильно верю, что оно поможет ))

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Домашняя страничка Andy
Записки молодого админа
Самостоятельная подготовка к Cisco CCNA
Самостоятельная подготовка к Cisco CCNP
Powered by Muff