TCP "drop open request" - jde o utok nebo spatna konfigurace jadra
Jirka Kosina
jikos na jikos.cz
Čtvrtek Červen 20 12:22:11 CEST 2002
On Thu, 20 Jun 2002, bruno maglajz wrote:
> > Toto cislo se da nastavit v /proc/sys/net/ipv4/tcp_max_syn_backlog,
> > pripadne si zkuste povolit syncookies (echo 1
> > > /proc/sys/net/ipv4/tcp_syncookies).
> tcp_max_backlog bylo na 256 - jestli jsem Vas dobre pochopil, je
> lepsi toto cislo zvednout? Na dvojnasobek?
No, "lepsi" je diskutabilni. Jde o to, ze pokud se Vam napriklad stane, ze
se najednou bude chtit k Vasemu webserveru nekolik set uzivatelu z
pomalychdialupu, tak se proste preplni ten backlog, a zacne to spojeni od
nekterych klientu zahazovat. Tim ze toto cislo zvysite zvysite velikost
toho, kolik pokusu o otevreni spojeni je v jednom okamziku ochotno jadro
obsluhovat.
> > A taky by mnohe mohl napovedet pohled do logu apache, jake v tu dobu
> > chodily requesty.
> Bohuzel, nedoslo mi to a logy se po pulnoci prohnaly statistikatorem
> a smazaly.
Tak to je mrzute. Logy je presne pro tyto pripady dobre alespon nejakou
rozumnou dobu archivovat, od toho jsou.
Chybami se clovek uci ;)
> Jaky doporucujete postup dal - co kdyz se to bude opakovat. Je nejaky
Predevsim - mate aktualni verzi apache? Velmi nedavno v nem byl objeven
pomerne zasadni bezpecnostni problem, ktery vede typicky k DoS utoku, ale
je mozne i vzdalene spousteni kodu (na nekterych architekrturach, pomerne
diskutabilni hackerska skupina GOBBLES tvrdi, ze to umi i na linuxu, na
OpenBSD to jde urcite). Opravene je to v aktualni verzi Apache, kterou si
muzete stahnout primo z apache.org, a napriklad redhat dnes v noci vydal
opraveny balicek.
> postup, jak server obrnit proti tomuto typu utoku? Pokud se tu toto
> tema resilo, tka se omlouvam za opakovani tematu, v archivu
> konference jsem nic konkretniho co delat nenasel.
Proti SYN floodum se lze branit ruznymi zpusoby - jeden z nich je
napriklad omezeni poctu SYN packetu, ktere si za urcity casovy interval
pustite do systemu. Toto cislo to chce nastavovat velice rozvazne, aby
nedochazelo ke ztratam SYN packetu, ktere se opravdu snazi otevrit
legitimni spojeni (lze nastavit pomoci iptables). Dalsi moznosti jsou ta
syncookies.
--
JiKos.
Další informace o konferenci Linux