Urgentissimo please!! Problema Synflood-Iptables

Winstar · 20-04-2009, 18:41

Salve, se non trovo la soluzione a questo problema entro stanotte il mio provider mi chiudera' il mio server Linux

Dunque: il problema è questo: su questo server erogo un servizio di chat. Dei concorrenti rosiconi mi inviano ogni sera dei pesantissimi syn flood. Il firewall del provider, l'unico che ho trovato, fa un lavoro egregio e la mia chat non cade. Tuttavia ho un altro problema quasi piu grave: il mio server risponde ai pacchetti SYN provenienti da ip random spoofati, con degli ACK. Gli indirizzi che si vedono arrivare i miei ACK non sono molto contenti, e mandano delle segnalazioni di port scanning al mio provider, che si sta rompendo le scatole...
Ora, dato che gli attacchi provengono SEMPRE dalle porte 3072 e 1024, io ho pensato di filtrare tali pacchetti con iptables. Ho settato le seguenti regole:

iptables -I INPUT -p tcp --sport 1024 -j DROP
iptables -I INPUT -p tcp --sport 3072 -j DROP

e, tanto per abbondare,

iptables -I OUTPUT -p tcp --dport 1024 -j DROP
iptables -I OUTPUT -p tcp --dport 3072 -j DROP

MA ho il sospetto che il mio server risponda ancora al flood. Come posso fare? Vi prego aiutatemi.

Gimli[2BV!2B] · 20-04-2009, 19:19

Per situazioni di questo tipo conosco i TCP syncookies.
Pagine wiki che introducono l'argomento: italiano, inglese.
Anche questa breve spiegazione mi piace.

Controllo stato:

Codice:

root@altarf:~# sysctl net.ipv4.tcp_syncookies
net.ipv4.tcp_syncookies = 0

Attivazione:

Codice:

root@altarf:~# sysctl -w net.ipv4.tcp_syncookies=1
net.ipv4.tcp_syncookies = 1

Per salvare definitivamente l'impostazione, il file che si deve usualmente modificare (non hai specificato la distribuzione) è /etc/sysctl.conf

Winstar · 20-04-2009, 23:20

i syn cookies credo servano per evitare che uno stesso ip ti possa bloccare le connessioni. In ogni caso, sono gia attivati

Grazie per il tentativo

Gimli[2BV!2B] · 21-04-2009, 00:14

Ok, niente biscotti, li hai già mangiati

Tornando alle tue regole, specificando --syn migliora qualcosa?

Codice:

/sbin/iptables -I INPUT -p tcp --syn --sport 1024 -j DROP
/sbin/iptables -I INPUT -p tcp --syn --sport 3072 -j DROP

20-04-2009, 18:41	#1
Winstar Senior Member Iscritto dal: Mar 2001 Messaggi: 864	Urgentissimo please!! Problema Synflood-Iptables Salve, se non trovo la soluzione a questo problema entro stanotte il mio provider mi chiudera' il mio server Linux Dunque: il problema è questo: su questo server erogo un servizio di chat. Dei concorrenti rosiconi mi inviano ogni sera dei pesantissimi syn flood. Il firewall del provider, l'unico che ho trovato, fa un lavoro egregio e la mia chat non cade. Tuttavia ho un altro problema quasi piu grave: il mio server risponde ai pacchetti SYN provenienti da ip random spoofati, con degli ACK. Gli indirizzi che si vedono arrivare i miei ACK non sono molto contenti, e mandano delle segnalazioni di port scanning al mio provider, che si sta rompendo le scatole... Ora, dato che gli attacchi provengono SEMPRE dalle porte 3072 e 1024, io ho pensato di filtrare tali pacchetti con iptables. Ho settato le seguenti regole: iptables -I INPUT -p tcp --sport 1024 -j DROP iptables -I INPUT -p tcp --sport 3072 -j DROP e, tanto per abbondare, iptables -I OUTPUT -p tcp --dport 1024 -j DROP iptables -I OUTPUT -p tcp --dport 3072 -j DROP MA ho il sospetto che il mio server risponda ancora al flood. Come posso fare? Vi prego aiutatemi.

20-04-2009, 19:19	#2
Gimli[2BV!2B] Senior Member Iscritto dal: Feb 2006 Città: Parma Messaggi: 3010	Per situazioni di questo tipo conosco i TCP syncookies. Pagine wiki che introducono l'argomento: italiano, inglese. Anche questa breve spiegazione mi piace. Controllo stato: Codice: root@altarf:~# sysctl net.ipv4.tcp_syncookies net.ipv4.tcp_syncookies = 0 Attivazione: Codice: root@altarf:~# sysctl -w net.ipv4.tcp_syncookies=1 net.ipv4.tcp_syncookies = 1 Per salvare definitivamente l'impostazione, il file che si deve usualmente modificare (non hai specificato la distribuzione) è /etc/sysctl.conf __________________ ~Breve riferimento ai comandi GNU/Linux (ormai non molto breve...)

21-04-2009, 00:14	#4
Gimli[2BV!2B] Senior Member Iscritto dal: Feb 2006 Città: Parma Messaggi: 3010	Ok, niente biscotti, li hai già mangiati Tornando alle tue regole, specificando --syn migliora qualcosa? Codice: /sbin/iptables -I INPUT -p tcp --syn --sport 1024 -j DROP /sbin/iptables -I INPUT -p tcp --syn --sport 3072 -j DROP __________________ ~Breve riferimento ai comandi GNU/Linux (ormai non molto breve...)

20-04-2009, 23:20	#3
Winstar Senior Member Iscritto dal: Mar 2001 Messaggi: 864	i syn cookies credo servano per evitare che uno stesso ip ti possa bloccare le connessioni. In ogni caso, sono gia attivati Grazie per il tentativo

Strumenti
Mostra una versione stampabile Invia questa pagina per email