TCP "drop open request" - jde o utok nebo spatna konfigurace jadra

Jirka Kosina jikos na jikos.cz
Čtvrtek Červen 20 12:22:11 CEST 2002


On Thu, 20 Jun 2002, bruno maglajz wrote:

> > Toto cislo se da nastavit v /proc/sys/net/ipv4/tcp_max_syn_backlog,
> > pripadne si zkuste povolit syncookies (echo 1
> > > /proc/sys/net/ipv4/tcp_syncookies).
> tcp_max_backlog bylo na 256 - jestli jsem Vas dobre pochopil, je
> lepsi toto cislo zvednout? Na dvojnasobek?

No, "lepsi" je diskutabilni. Jde o to, ze pokud se Vam napriklad stane, ze 
se najednou bude chtit k Vasemu webserveru nekolik set uzivatelu z 
pomalychdialupu, tak se proste preplni ten backlog, a zacne to spojeni od 
nekterych klientu zahazovat. Tim ze toto cislo zvysite zvysite velikost 
toho, kolik pokusu o otevreni spojeni je v jednom okamziku ochotno jadro 
obsluhovat.

> > A taky by mnohe mohl napovedet pohled do logu apache, jake v tu dobu 
> > chodily requesty.
> Bohuzel, nedoslo mi to a logy se po pulnoci prohnaly statistikatorem
> a smazaly.

Tak to je mrzute. Logy je presne pro tyto pripady dobre alespon nejakou 
rozumnou dobu archivovat, od toho jsou.
Chybami se clovek uci ;)

> Jaky doporucujete postup dal - co kdyz se to bude opakovat. Je nejaky

Predevsim - mate aktualni verzi apache? Velmi nedavno v nem byl objeven 
pomerne zasadni bezpecnostni problem, ktery vede typicky k DoS utoku, ale 
je mozne i vzdalene spousteni kodu (na nekterych architekrturach, pomerne 
diskutabilni hackerska skupina GOBBLES tvrdi, ze to umi i na linuxu, na 
OpenBSD to jde urcite). Opravene je to v aktualni verzi Apache, kterou si 
muzete stahnout primo z apache.org, a napriklad redhat dnes v noci vydal 
opraveny balicek.

> postup, jak server obrnit proti tomuto typu utoku? Pokud se tu toto
> tema resilo, tka se omlouvam za opakovani tematu, v archivu
> konference jsem nic konkretniho co delat nenasel.

Proti SYN floodum se lze branit ruznymi zpusoby - jeden z nich je
napriklad omezeni poctu SYN packetu, ktere si za urcity casovy interval
pustite do systemu. Toto cislo to chce nastavovat velice rozvazne, aby
nedochazelo ke ztratam SYN packetu, ktere se opravdu snazi otevrit
legitimni spojeni (lze nastavit pomoci iptables). Dalsi moznosti jsou ta
syncookies.

-- 
JiKos.




Další informace o konferenci Linux