SYN Flood

[Marcel Kolaja]

On Thu, Sep 20, 2001 at 11:46:45AM +0200, Pavel Rauš wrote:

> Zdravim,
> v logu jsem nasel toto :
> kernel: possible SYN flooding on port 80. Sending cookies.
> Zacalo se to tam objevovat a po cca 10-15 minutach server vytuhnul - spadnul
> auth modul (tcp port 113) a zbytek byl hrozne moc pomaly. Nevi nekdo, jak se
> tomuto utoku branit?

Třeba zkusit http://iblockd.solnet.cz/
Ještě to není úplně dodělané nicméně funkční to je. Je to daemon, který
při zaznamenání útoku zablokuje na 2 hodiny zdrojovou IP adresu. Útok
pozná podle toho, zda matchuje některý z regulárních výrazů
v konfiguračním souboru s řádkem v logu, z kterého iblockd čte. V současné
době pozná DNS AXFR a portscan ohlášené snortem. Na SYN flooding by se
musel ten regulární výraz přidat (BTW snort ho tuším taky umí rozeznat).

>                 Pavel Rauš


S pozdravem

Marcel Kolaja                              http://www.fi.muni.cz/~xkolaja/
NLPlab FI MU                                        http://nlp.fi.muni.cz/
--------------------------------------------------------------------------
"Linux hackers are funny people: They count the time in patchlevels."
       -- Martin Josefsson