Visualizza post

Questa sezione ti permette di visualizzare tutti i post inviati da questo utente. N.B: puoi vedere solo i post relativi alle aree dove hai l'accesso.


Post - lossoth

Pagine: 1 [2]
16
Sicurezza / Re: attacco "SYN FLOOD" con spoofed IP
« il: 11 Ottobre 2011, 11:45:24 »
ok, sorry, come capirai non sono molto ferrato sull'argomento...

SELinux status:                 disabled

17
Sicurezza / Re: attacco "SYN FLOOD" con spoofed IP
« il: 11 Ottobre 2011, 11:43:31 »
bash: selinux: command not found

sembra di no

18
Sicurezza / Re: attacco "SYN FLOOD" con spoofed IP
« il: 11 Ottobre 2011, 11:37:45 »
Netfilter proprio non lo trovo e iptables sta girando, sicuro al 100%.
Cosa può essere? Sembra che netfilter sia una specie di modulo di iptables, ma non resco a capire come abilitarlo...
 :'(
Aiuto!

19
Sicurezza / Re: attacco "SYN FLOOD" con spoofed IP
« il: 10 Ottobre 2011, 16:51:45 »
Grazie mille per la risposta, ho molti spunti su cui lavorare.

Domanda:
/proc/sys/net non vedo netfilter. Lo installo con lo yum o intendi qualcos'altro?

Precisazione:
gli accessi ssh non autorizzati alle porte 22 e 80 sono bloccati da iptables:
-A INPUT -p tcp --dport 22 -m recent --set --name ssh --rsource
-A INPUT -p tcp --dport 22 -m recent ! --rcheck --seconds 60 --hitcount 4 --name ssh --rsource -j ACCEPT
-A INPUT -p tcp --dport 80 -m recent --set --name ssh --rsource
-A INPUT -p tcp --dport 80 -m recent ! --rcheck --seconds 60 --hitcount 4 --name ssh --rsource -j ACCEPT
in /var/log/secure non c'è nulla di rilevante.


20
Sicurezza / attacco "SYN FLOOD" con spoofed IP
« il: 10 Ottobre 2011, 13:52:01 »
Ciao a tutti!
Da 5 giorni mi sono accorto di essere sotto attacco SYN FLOOD.
web server: CentOS 5.5 - Apache 2.2.3 - kernel: 2.6.18-194.17.1.el5

Sintomi:
- load basso
- traffico rete normale (non è un problema di connessione lenta)
- netstat mostra numerose requests syn in stato SYN_RECV
quindi il server è li in attesa di una risposta ACK dal client che non arriverà mai in quanto gli IP sono fasulli, quindi apache rallenta

Le soluzioni che ho trovato agiscono o sul firewall o sulle varibili TCP di sistema.

1- firewall: iptables
sono abbastanza sicuro che gli accessi syn siano fatti sulla porta 80 dove gira apache e non sulla 22 aperta per ssh
quindi mi sembra non sia inerente alla discussione: Aumento costante processi ssh (http://www.centos-italia.org/index.php?action=post;board=25.0)

2- variabili TCP /proc/sys/net/ipv4: due indicazioni teoriche
-- aumentare la coda delle connessioni SYN_RECV aperte
-- diminuire l'intervallo di tempo in cui una connessione rimane in stato SYN_RECV

Io ho:
- attivato tcp_syncookies (il kernel lo dovrebbe supportare)
- messo tcp_synack_retries e .tcp_syn_retries=1
però non vedo miglioramenti nella velocità del sito

Tra i mille dubbi ho le seguenti domande...

1- tcp_max_syn_backlog: vedo nella documentazione che per portarlo oltre 1024 (il mio valore attuale) c'è il seguente warning (incollo che faccio prima):
[Warning! If you make it greater than 1024, it would be better to change TCP_SYNQ_HSIZE in include/net/tcp.h to keep TCP_SYNQ_HSIZE*16<=tcp_max_syn_backlog and to recompile kernel.]

2- qualcuno saprebbe indicarmi come "diminuire l'intervallo di tempo in cui una connessione rimane in stato SYN_RECV"? non riesco a trovare un parametro corretto
tcp_fin_timeout non fa al caso mio in quanto qui siamo già avanti nello stack tcp

3- c'è forse qualcos'altro da prendere in considerazione?

Grazie!

Pagine: 1 [2]