Re: TCP drop open request- jde o utok nebo spatna konfiguracejadra

[bruno maglajz]

Omlouvam se tem ucastnikum konference ktere toto tema nezajima, ale
causa utoku se dale vyviji takze posilam aktualni informace:

> Tak to je mrzute. Logy je presne pro tyto pripady dobre alespon nejakou
> rozumnou dobu archivovat, od toho jsou.

pred chvili jsem zjistil, ze vykon serveru opet slabne a opet tu byl
stary znamy:

TCP: drop open request from 217.11.254.43/19054
TCP: drop open request from 217.11.254.43/19056
NET: 18 messages suppressed.
TCP: drop open request from 217.11.254.43/19110
possible SYN flooding on port 80. Sending cookies.
possible SYN flooding on port 80. Sending cookies.
possible SYN flooding on port 80. Sending cookies.

tentokrat jiz ale system mel zapnute syn cookies, takze sice zatez
byla vysoka, ale trochu nizsi nez vcera, a tak stale reagoval.
Prohledal jsem logy www serveru a opravdu jsem tam nasel puvodce:

217.11.254.43 - - [20/Jun/2002:13:57:38+0200] "GET
/hledat.pp?sess_id=dd91eb573d109fdccf8c6&lang=cz&vpopisu=1&hledtext=pap
HTTP/1.0" 200 18345 "" "ApacheBench/1.3d"

Techto zaznamu je tam kvantum, ten benchmarkovy nastroj server
naprosto zahltil.

Tim je vse jasne, pokladam to za velmi promysleny utok, nebot toto
volani skriptu ktery provadi hledani se hrabe fulltextem v databazi a
je jednim z nejnarocnejsich. IP puvodce jsem zablokoval firewallem,
ale pokud si najde jiny stroj odkud zacne toto zase posilat, tak jsem
tam kde jsem byl.

Tim asi me moznosti konci, syn cookies sice castecne pomohly, ale
server byl presto tak pretizeny, ze www stranky posilal velmi pomalu.
Takze pokud to ten hajzlik zacne delat odjinud, mam smulu.

> nedochazelo ke ztratam SYN packetu, ktere se opravdu snazi otevrit
> legitimni spojeni (lze nastavit pomoci iptables). Dalsi moznosti jsou ta
> syncookies.

diky, to jsem udelal.

Bruno.


______________________________________________________________________
Reklama:
Poctenicko pro kazdy den: http://www.novinky.cz