SYN floody
Petr Simek
petrsi na jcu.cz
Středa Červenec 1 10:35:41 CEST 1998
On Wed, 1 Jul 1998, Jan Kasprzak wrote:
> Michal Krause pise:
> : Nekdo nam pravidelne napada server pomoci %subj%. Server to ustoji, ale ja u
> : toho obvykle sedim a bezmocne koukam, jak load bez zjevne priciny leti vzhuru
> : (nekdy az na 80). Strasne me stve, ze i kdyz ty pokusy bezi zrovna ve chvily,
> : kdy se divam, nemuzu s tim nic delat. Ve vypisu z logu je videt, ze to zkusi
> : treba 2x denne po 20 pokusech kazdou minutu. Neda se s tim neco rozumneho delat?
> : SYN cookies pochopitelne zapnute mam, ale nevim, jestli spis nezabira kratky
> : timeout (60 sec) Apache. Jadro 2.0.34, RedHat 4.2.
>
> Zjistit tcpdumpem, odkud syn-flood prichazi, a pak tu adresu pomoci
> ipfwadm (nebo na routeru) zakazat.
A neni mozne u SYN floodu vydavat se za nekoho jineho ? Takovy zakaz pak
krome momentalniho vyreseni problemu muze zpusobit preruseni spojeni
(treba zadaneho) s tim za koho se utocnik vydaval ...
> -Yenya
*------------------------------------------------------------------------*
| Petr Simek APS JU |
| petrsi na jcu.cz |
*------------------------------------------------------------------------*
Další informace o konferenci Linux