[GTER] SYN FLOOD ATTACK
Juliano Primavesi - Cyberweb Networks
juliano at cyberweb.com.br
Mon Sep 25 14:34:21 -03 2006
No Linux, existem algumas modificações que não terminam com o problema,
mas ajudam a controlá-lo, como: barrar através do iptables e aumentar o
tamanho da fila de syn, diminuir tempos de manutenção na fila.
Utilizo as seguintes regras, que têm tido um efeito muito bom:
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
echo 4096 > /proc/sys/net/ipv4/tcp_max_syn_backlog
echo 4096 > /proc/sys/net/core/netdev_max_backlog
echo 3 > /proc/sys/net/ipv4/tcp_synack_retries
Durante um ataque, altero as regras para:
echo 1 > /proc/sys/net/ipv4/tcp_synack_retries
echo 1 > /proc/sys/net/ipv4/tcp_syn_retries
echo 8192 > /proc/sys/net/ipv4/tcp_max_syn_backlog
Isso faz com que um pacote fique o menor tempo possível aguardando
resposta e aumenta o tamanho da fila para 8192 requisições. Este valor
depende da configuração do kernel.
Com iptables, dependendo da aplicação que roda no servidor, utilizo o
seguinte código:
/sbin/iptables -N syn-flood
/sbin/iptables -A syn-flood -i eth0 -m limit --limit 200/second
--limit-burst 20 -j RETURN
/sbin/iptables -A syn-flood -i eth0 -j LOG --log-prefix "SYN FLOOD: "
/sbin/iptables -A syn-flood -i eth0 -j DROP
/sbin/iptables -A INPUT -i eth0 -p tcp --syn -j syn-flood
Às vezes pego alguns falsos-positivos, mas são pouquíssimos (1 a 2 por
dia) perto da demanda total.
Cordialmente,
Juliano Primavesi
: CyberWeb Networks
: Diretor de Operações
: Fone/Fax 0800 889 8989
:.........> http://www.cyberweb.com.br
colognostrus_3000 at hotmail.com wrote:
> Caros amigos,
>
> Um Ip da minha rede recebeu pela 2a. vez um ataque de Syn Flood com algo em
> torno de 25.000 pacotes / segundo e teve que ser bloqueado no datacenter por
> um tempo até que a operadora responsável, no caso, a Embratel, bloqueasse a
> origem internacional do ataque.
>
> Agora eu pergunto: Existe alguma forma de filtrar um ataque desse e evitar
> a necessidade de bloquear o IP ?
>
>
> Att,
> Alexandre
>
> _________________________________________________________________
> Seja um dos primeiros a testar o novo Windows Live Mail Beta- grátis. Acesse
> http://www.ideas.live.com/programpage.aspx?versionId=5d21c51a-b161-4314-9b0e-4911fb2b2e6d
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list