SYN FLOOD

Seal · 9 Ekim 2006

Arkadaşlar hangi programla saldırıyorlar bilmiyorum ama Serverime SYN FLOOD yapılıyor.

Konsoldan :

netstat -np | grep SYN_RECV

yaptığımda zaten IP'ler beliriyor. CPU'm yükseldiği anda yani saldırı olduğu andaki kopyaladığım bir sonucu da yazayım:

root@client-196-20 [~]# netstat -np | grep SYN_RECV
tcp 0 0 62.*.*.*:80 85.106.132.234:28008 SYN_RECV -
tcp 0 0 62.*.*.*:80 85.106.132.234:28014 SYN_RECV -
tcp 0 0 62.*.*.*:80 81.215.237.83:1175 SYN_RECV -
tcp 0 0 62.*.*.*:80 81.215.237.83:1179 SYN_RECV -
tcp 0 0 62.*.*.*:80 85.106.132.234:28007 SYN_RECV -
tcp 0 0 62.*.*.*:80 85.106.132.234:28010 SYN_RECV -
tcp 0 0 62.*.*.*:80 85.106.132.234:28009 SYN_RECV -
tcp 0 0 62.*.*.*:80 81.215.237.83:1172 SYN_RECV -
tcp 0 0 62.*.*.*:80 81.215.237.83:1177 SYN_RECV -
tcp 0 0 62.*.*.*:80 85.102.50.22:50706 SYN_RECV -
tcp 0 0 62.*.*.*:80 81.215.237.83:1173 SYN_RECV -
tcp 0 0 62.*.*.*:80 81.215.237.83:1178 SYN_RECV -
tcp 0 0 62.*.*.*:80 85.106.132.234:28005 SYN_RECV -
tcp 0 0 62.*.*.*:80 85.106.132.234:28001 SYN_RECV -
tcp 0 0 62.*.*.*:80 81.215.237.83:1167 SYN_RECV -
tcp 0 0 62.*.*.*:80 81.215.237.83:1171 SYN_RECV -
tcp 0 0 62.*.*.*:80 81.215.237.83:1168 SYN_RECV -
tcp 0 0 62.*.*.*:80 85.102.50.22:50707 SYN_RECV -
tcp 0 0 62.*.*.*:80 85.106.132.234:28011 SYN_RECV -
tcp 0 0 62.*.*.*:80 85.106.132.234:28006 SYN_RECV -
tcp 0 0 62.*.*.*:80 81.215.237.83:1176 SYN_RECV -
tcp 0 0 62.*.*.*:80 85.106.132.234:28002 SYN_RECV -
tcp 0 0 62.*.*.*:80 81.215.237.83:1174 SYN_RECV -

Arkadaşlar iki sorum olcak :

1) Bu sonuçlar o an SYN FLOOD olduğunu gösteriyor sanırım değil mi, çünkü normal zamanda ya hiç bi sonuç vermiyor, yada 2-3 tane çıkıyor en fazla.

2) O anki saldırıyo kesmek için şu iki iptables komutunu kullanıyorum :

iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j RETURN
iptables -A INPUT -p tcp -m tcp -d 80 -j DROP

bu komutlardan sonra yeniden netstat -np | grep SYN_RECV yaptığımda ise hemen hemen kaybolduğunu gözlemliyorum. Ama acaba bu SYN FLOOD'u tamamen önleyecek bir komut yok mudur? İlle saldırı anına denk gelip bu şekilde mi kesmem lazım, Başka yapabilirim?

Bu konuda iyi bilgili arkadaşlar, beni aydınlatabilirlerse sevinirim. Saygılar

Uzak444 · 10 Ekim 2006

apfden o portları kapatsanız daha iyi olur

darXis · 10 Ekim 2006

80'i nasıl kapatsın dostum

Mohti · 10 Ekim 2006

tcp 0 0 62.*.*.*:80 81.215.237.83:1174 SYN_RECV -

80'i kapat dememiski arkadas..

Sanırım görmemişsin.Soruyu Soran arkadas Kendi ip'ini ** koyarak gizlemis.
Mesela verdiğim örnekte 81.215.237.83:1174 ip'inden saldiri olmus..
Buradaki Port 1174..
Yani kapatilmasi gereken Port bu sanirim..
Aynı Sorun bendede var Cünkü. Daha Cözüm bulamadim

MasterTR · 10 Ekim 2006

62.*.*.* burda yazilan serverin ipsi dir
:80 buda serverin portudur, egerki bu portu kapatirsa siteye eri$im olmayacaktir(80. port un ne i$e yaradigini biliyosundur umarim)

Uzak444 · 10 Ekim 2006

master ve okan haklı portları karıştırdım ben

sondaki port adamın gönderdiği en baştaki 80 server portu

Mohti · 10 Ekim 2006

Okan Kim

?

MasterTR · 10 Ekim 2006

Mohti' Alıntı:
Okan Kim ?

darxis nickli uye

Mohti · 10 Ekim 2006

Ha Siz Grup yada arkada$ falansınız Pardon girmiyim araniza ben

MasterTR · 10 Ekim 2006

Mohti' Alıntı:
Ha Siz Grup yada arkada$ falansınız Pardon girmiyim araniza ben

bu yazdigin mesaj konuyu dagitmaktan ba$ka bir i$e yaramiyor (aynen ilk mesajin ve digerlerinde oldugu gibi)

Mohti · 10 Ekim 2006

Asabiyiz..

İlk mesaj'ım Konu üzerineydi Okuma yazman varsa anlamı$sındır..
Neyse Polemiğe giremem seninLe..i$im gücüm var.
Konu Sahibindende özür dilerim böyle bir kaç şuursuz mesaj için..
Kolay geLsin..

Cky · 10 Ekim 2006

walla baba ben suanda en sağlamini yiyorum ve hiç bir sekilde dc me login olamiyorum

www.gurup.net

yapman gereken tekşey;

1 nescafe hazirliyip hersey normale dönene kadar yudumlamak

MasterTR · 10 Ekim 2006

Cky' Alıntı:
walla baba ben suanda en sağlamini yiyorum ve hiç bir sekilde dc me login olamiyorum

www.gurup.net

yapman gereken tekşey;

1 nescafe hazirliyip hersey normale dönene kadar yudumlamak

bence mail at makinani kapatsinlar. bilgilerini kaybetmek istemezsin sanirim

Cky · 10 Ekim 2006

baba dc den Allah'ın kulu yokki ortada

plesk güncellenecek o bile bekliyor hala

darXis · 10 Ekim 2006

saldırı gelen ip'yi sil sistemden nescafeni yudumlarken de işletim sistemin zarra görmesin. çünki bazı saldırıların işletim sisteminde geri dönülemez sorunlar yarabildiğine herkez şahit olmuştur. gerçi pastelediğin kısımda saldırdığı legalpara edilen ip altı üstü bir adsl ip'si ve gördüğüm kadarı ile N adet farklı ip'den saldırı almıyorsun, blokla ipyi(leri) kurtar paçayı.

qdin · 10 Ekim 2006

IP adresini IPTables den block alırsanız sorun kalmayacaktır. yada datacenteriniz ile bağlantı kurunuz bu ip blogunu filtrelemeye alırlar daha rahat olur. baktiniz oda olmuyor kendi firewall inizi yapacak durumunuzda yok çeşitli dd0s protectionlar var onlardan bir tanesini ücretli alabilir kurdurabilirsiniz. gerçi sağlam datacenterlar var ev1 theplanet gibi buradan serveriniz varsa fazla dert etmezsiniz.

Cky · 10 Ekim 2006

tam 3 saat sonra makinama kavustum

ama isin kötüsü makina benim ipi dahil a dan z ye banlamis

o yüzden bloke olayi suya düstü

ama banlari filan temizledim simdi hayat normal

Seal · 10 Ekim 2006

Arkadaşlar cevaplarınız için teşekkür ederim., bir çok konuya girilmiş aslında. Madde madde açıklama yaparsam daha güzel olacak

1) 62.*.*.*:80 benim serverim tabi ki, soran arkadaşlar olmuş

Bu arada saldırı yapılan portları kapatın demiş bazı arkadaşlar, ama portlara dikkat ederseniz portların hepsi de farklı farklı, sabit bir port yok ve bu her seferinde de değişik port oluyor.

2) Apf serverimde kurulu zaten, ve apf'nin zaten düzgün kurulmuşsa zaten sadece kullanacağını zportları açıyosunuz 80,2096,22 vs.. gibi, diğerleri zaten kapalı oluyor. yani Port kapatma diye bir sorunum yok çünkü zaten APF düzgün kurulmuş bir serverda zaten bu tip gereksiz portların hepsi de kapalı olur.

3) IP bloklama olayına hiç girmiyorum arkadaşlar çünkü IP sürekli değişken oluyor, bu tam bir koruma sağlamıyor. Yada Proxy ve IP Changer programlarıyla tam anlamıyla bu engel aşılıyor.

Normalde zaten DC'mizin Cisco ve TrippingPoint gibi sistemler, var, ayrıca serverde mod_evasive, apf,bfd gibi çeşitli korumalarım mevcut. Ama her ne hikmetse bu SYN Flood başlayınca bir anda bir yükselme oluyor CPU'da, ama sonra yavaş yavaş iniyor. Sanırım bu SYN FLOOD'u tümden bloklamanın bir yolu yok. Çok fazla bir zarar veremiyor korumalardan dolayı ama yine de tümüyle ilk etkisini de önleyebilir miyim diye düşündüm ama sanırım öyle bişey yok.

gokceyalcin · 16 Nisan 2008

Çözüm

Necroluk yapmış olabilirim (konuyu tekrar hortlatma) ama sanırım bu önemli bir sorun, ben de karşılaştım ve bulduğum çözümü sunuyorum.

Birisi apache modulu Dosevaise , SYN floodu otomatik algılayıp, connection que sunu boşaltıyor. (http://www.nuclearelephant.com/projects/dosevasive/)

Diğeri ise karşılaştığım durumu otomatik algılayacak ve iptables'dan DROP edecek bekci kodum,

Kod:

#!/usr/bin/php -q
<?
while(true) {
unset($exec);
exec("netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1",$exec);
foreach($exec as $i => $v) {
        $v = trim($v);
        $v = str_replace(array("  ","   ")," ",$v);
        $v = str_replace(array("  ","   ")," ",$v);
        $v = str_replace(array("  ","   ")," ",$v);
        $v = str_replace(array("  ","   ")," ",$v);
        $v = str_replace(array("  ","   ")," ",$v);
        $d = explode(" ",$v);
        //print_r($d);
        if ($d[0] > 30 && !in_array($d[1],$giden)) {
        echo "Gidici: {$d[0]} tane {$d[1]}\n";
        exec("iptables -A INPUT -s ".$d[1]." -j DROP");
        $giden[] = $dil[1];
        }
}
sleep(30);
}
?>

KATILSANA · 21 Nisan 2008

Tam Olarak Neyi Nereye Nasıl Yapacağımı Anlatır mısın?
Gerçi İlk Mesajın Bu Olmuş Sanırım.
Ne Zaman Bir Daha Bakarsın Belli Olmasa Gerek.
Ama Yine de Sorayım İstedim.
ve Bu Arada Evet Necro'luk Yapmışsın

SYN FLOOD

0

0

0

0

MasterTR

0

0

MasterTR

0

MasterTR

0

0

MasterTR

0

0

0

0

0

0

0