syn flood potrafi wyłączyć PLD Th na stałe?

Zbyniu Krzystolik zbyniu w geocarbon.pl
Wto, 18 Sie 2009, 14:46:15 CEST


Lukasz Michalski napisał(a):
> Witam,
> 
> Mam sobie serwer z uruchomionymi usługami: cyrus-imapd, postfix, apache
> + SSL, nagios. Chodzi to na b.starym sprzęcie (PIII 800Mhz, 384Mb RAM).
> 
> Co jakiś czas przeżywa on 10 min syn-flood'y na porcie 110, co objawia
> się w logach kernela (syn flood detected on port 110, sending cookies).

Syn cookies to dość prosty patent, żeby bronić się przed przepełnieniem
buforów przy zalewie takimi pakietami. Można go sobie włączyć przez
sysctl np przez /etc/syctl.conf:
net.ipv4.tcp_syncookies = 1
Domyślnie nie jest włączone, bo ma pewne drobne mankamenty.

Jeśli tego nie zrobisz, to kernel i tak będzie się bronił wykrywając sam
czy ilość pakietów nie jest za duża i przełącza numery sekwencyne w tryb 
syncookies. Wtedy właśnie pojawia się linijka w logach informująca o tym
przejściu.

Jądro jest skutecznie zabezpieczone przed atakami tego typu i raczej
wątpię, żeby to było przyczyną zwiechy. Oczywiście lepszym wyjściem jest
ograniczyć niechciany ruch na firewallu. Może te pakiety przychodzą z
przyjaznych krajów typu Chiny, Korea, Turcja, Rumunia, które nijak się
mają do klientów poczty i można całkowicie ruch z tych miejsc wyrżnąć.

> Będę wdzięczny za wszystkie rady w tym temacie.

Przeczytaj co to syncookies, proste i ciekawe rozwiązanie :)

Zbyniu
-- 
%% Absolutely nothing we trust %%


Więcej informacji o liście dyskusyjnej pld-users-pl