* * *
Benvenuto! Effettua l'accesso oppure registrati.
Hai perso l'e-mail di attivazione?
17 Luglio 2019, 23:09:59

Inserisci il nome utente, la password e la durata della sessione.

Links

ads

Benvenuto


Benvenuto su la Community CentOS-Italia.Org

La Community Italiana di Linux CentOS e' lieta di averti tra noi , CentOS-Italia.Org e' un risorsa di guide e forum dal principiante al sistemista senior.
Clicca qua per registrati ora

La registrazione e' gratuita e ti consente di avere pieno accesso alle risorse di CentOS-Italia.org , come uso della ricerca avanzata , le funzioni interattive del portale e visualizzare i links nei post.
Gli utenti registrati non visualizzano gli ads, quindi registrati subito se non l'hai gia fatto.

Lo staff di CentOS-Italia.Org cerca di rendere la community un posto piacevole e il piu' produttivo possibile, invitiamo quindi i nuovi utenti a leggere le regole base.
Per info o problemi di registrazione scrivere a centos (at) centos-italia.org .

Autore Topic: attacco "SYN FLOOD" con spoofed IP  (Letto 22498 volte)

Offline lossoth

  • Newbie
  • *
  • Post: 20
    • Mostra profilo
attacco "SYN FLOOD" con spoofed IP
« il: 10 Ottobre 2011, 13:52:01 »
Ciao a tutti!
Da 5 giorni mi sono accorto di essere sotto attacco SYN FLOOD.
web server: CentOS 5.5 - Apache 2.2.3 - kernel: 2.6.18-194.17.1.el5

Sintomi:
- load basso
- traffico rete normale (non un problema di connessione lenta)
- netstat mostra numerose requests syn in stato SYN_RECV
quindi il server li in attesa di una risposta ACK dal client che non arriver mai in quanto gli IP sono fasulli, quindi apache rallenta

Le soluzioni che ho trovato agiscono o sul firewall o sulle varibili TCP di sistema.

1- firewall: iptables
sono abbastanza sicuro che gli accessi syn siano fatti sulla porta 80 dove gira apache e non sulla 22 aperta per ssh
quindi mi sembra non sia inerente alla discussione: Aumento costante processi ssh (http://www.centos-italia.org/index.php?action=post;board=25.0)

2- variabili TCP /proc/sys/net/ipv4: due indicazioni teoriche
-- aumentare la coda delle connessioni SYN_RECV aperte
-- diminuire l'intervallo di tempo in cui una connessione rimane in stato SYN_RECV

Io ho:
- attivato tcp_syncookies (il kernel lo dovrebbe supportare)
- messo tcp_synack_retries e .tcp_syn_retries=1
per non vedo miglioramenti nella velocit del sito

Tra i mille dubbi ho le seguenti domande...

1- tcp_max_syn_backlog: vedo nella documentazione che per portarlo oltre 1024 (il mio valore attuale) c' il seguente warning (incollo che faccio prima):
[Warning! If you make it greater than 1024, it would be better to change TCP_SYNQ_HSIZE in include/net/tcp.h to keep TCP_SYNQ_HSIZE*16<=tcp_max_syn_backlog and to recompile kernel.]

2- qualcuno saprebbe indicarmi come "diminuire l'intervallo di tempo in cui una connessione rimane in stato SYN_RECV"? non riesco a trovare un parametro corretto
tcp_fin_timeout non fa al caso mio in quanto qui siamo gi avanti nello stack tcp

3- c' forse qualcos'altro da prendere in considerazione?

Grazie!

Offline dankan77

  • Moderator
  • Hero Member
  • *****
  • Post: 1365
    • Mostra profilo
    • E-mail
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #1 il: 10 Ottobre 2011, 15:25:41 »
Ciao,
sicuramente fare il tuning del kernel per il tuo web server cosa buona, ma per fare un buon lavoro si deve conoscere la banda disponibile verso il web, il numero di connessioni contemporanee che ti aspetti ed eventualmente i picchi di connessioni che potrebbero capitare oltre alla capacit di erogazione della tua macchina.
Detto questo passiamo al secondo problema quello del syn flooding che di fatto ti st portando un mezzo DOS( Denial Of Service)
Per capire se le connessioni arrivano verso la porta 22 basta guardare in /var/log/secure e capire se ci sono molti tentativi di accesso non autorizzato. In questo caso puoi risolvere usando Fail2ban che un' applicazione utile a bloccare per qualche minuto gli ip che fanno diversi tentativi di accesso alla tua macchina.
Per quanto riguarda invece un eventuale DOS alla porta 80 puoi solamente ottimizzare lo stack TCP utilizzando ad esempio questa guida:
http://www.cyberciti.biz/faq/linux-tcp-tuning/   anche se come ti dicevo all'inizio utile conoscere le metriche del tuo ambiente per andare di fino.
In seguito anche la risposta alle 3 domande:
3) Ho risposto sopra con le mie considerazioni:
1) La risposta nel link che ti ho postato sopra
2) net.netfilter.nf_conntrack_tcp_timeout_syn_recv = "secondi che vuoi indicare"
P.S.
Il tuning v poi esteso anche alla tua applicazione apache visto che di fatto il tuo sistema dopo il tuning potrebbe essere dimensionato per reggere il flooding ma non a livello applicativo:

http://beginlinux.com/blog/2008/11/performance-tuning-a-centos-web-server/


Ciao

Offline lossoth

  • Newbie
  • *
  • Post: 20
    • Mostra profilo
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #2 il: 10 Ottobre 2011, 16:51:45 »
Grazie mille per la risposta, ho molti spunti su cui lavorare.

Domanda:
/proc/sys/net non vedo netfilter. Lo installo con lo yum o intendi qualcos'altro?

Precisazione:
gli accessi ssh non autorizzati alle porte 22 e 80 sono bloccati da iptables:
-A INPUT -p tcp --dport 22 -m recent --set --name ssh --rsource
-A INPUT -p tcp --dport 22 -m recent ! --rcheck --seconds 60 --hitcount 4 --name ssh --rsource -j ACCEPT
-A INPUT -p tcp --dport 80 -m recent --set --name ssh --rsource
-A INPUT -p tcp --dport 80 -m recent ! --rcheck --seconds 60 --hitcount 4 --name ssh --rsource -j ACCEPT
in /var/log/secure non c' nulla di rilevante.


Offline dankan77

  • Moderator
  • Hero Member
  • *****
  • Post: 1365
    • Mostra profilo
    • E-mail
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #3 il: 10 Ottobre 2011, 19:28:00 »
Se non trovi netfilter mi s tanto che iptables spento dato che quello stack li viene generato a runtime :-)
L'accesso ssh solo sulla porta 22 .
Inoltre penso che vi sia un errore logico, come regola dovresti creare una lista di ip source per ssh ed una per web quindi io modificherei in questo modo:

-A INPUT -p tcp --dport 22 -m recent --set --name ssh --rsource
-A INPUT -p tcp --dport 22 -m recent ! --rcheck --seconds 60 --hitcount 4 --name ssh --rsource -j ACCEPT
-A INPUT -p tcp --dport 80 -m recent --set --name web --rsource
-A INPUT -p tcp --dport 80 -m recent ! --rcheck --seconds 60 --hitcount 4 --name web --rsource -j ACCEPT

Detto questo mi s che se queste due liste (ssh e web) sono lunghe necessario effettuare il tuning del tcp e di netfilter con i fiocchi altrimenti la vedo dura a gestire un bel po' di connessioni con le due tabelle che traboccano

Ciao

Offline lossoth

  • Newbie
  • *
  • Post: 20
    • Mostra profilo
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #4 il: 11 Ottobre 2011, 11:37:45 »
Netfilter proprio non lo trovo e iptables sta girando, sicuro al 100%.
Cosa pu essere? Sembra che netfilter sia una specie di modulo di iptables, ma non resco a capire come abilitarlo...
 :'(
Aiuto!

Offline mayers81

  • Hero Member
  • *****
  • Post: 613
    • Mostra profilo
    • E-mail
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #5 il: 11 Ottobre 2011, 11:40:29 »
hai selinux abilitato?
Mayers

Where there is a shell, there is a way

Offline lossoth

  • Newbie
  • *
  • Post: 20
    • Mostra profilo
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #6 il: 11 Ottobre 2011, 11:43:31 »
bash: selinux: command not found

sembra di no

Offline mayers81

  • Hero Member
  • *****
  • Post: 613
    • Mostra profilo
    • E-mail
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #7 il: 11 Ottobre 2011, 11:44:27 »
il comando sestatus  ::)
Mayers

Where there is a shell, there is a way

Offline lossoth

  • Newbie
  • *
  • Post: 20
    • Mostra profilo
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #8 il: 11 Ottobre 2011, 11:45:24 »
ok, sorry, come capirai non sono molto ferrato sull'argomento...

SELinux status:                 disabled

Offline mayers81

  • Hero Member
  • *****
  • Post: 613
    • Mostra profilo
    • E-mail
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #9 il: 11 Ottobre 2011, 11:47:06 »
setenforce 1  ;D ;D ;D ;D

lo abiliti
Mayers

Where there is a shell, there is a way

Offline lossoth

  • Newbie
  • *
  • Post: 20
    • Mostra profilo
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #10 il: 11 Ottobre 2011, 11:55:49 »
#set enforce 1 ->
setenforce: SELinux is disabled

cambio /etc/selinux/config mettendo
SELINUX=enforcing ?
(adesso "disabled")

qui http://www.centos.org/docs/5/html/5.2/Deployment_Guide/sec-sel-enable-disable.html
dice che bisogna riavviare il sistema poi...

Offline mayers81

  • Hero Member
  • *****
  • Post: 613
    • Mostra profilo
    • E-mail
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #11 il: 11 Ottobre 2011, 12:04:40 »
aspetta non farlo se era in disable
Mayers

Where there is a shell, there is a way

Offline mayers81

  • Hero Member
  • *****
  • Post: 613
    • Mostra profilo
    • E-mail
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #12 il: 11 Ottobre 2011, 12:10:59 »
leggi qua come riabilitarlo occhio che se sbagli sputtani la macchina

http://wiki.centos.org/HowTos/SELinux#head-0f6390ddacfab39ee973ed8018a32212c2a02199
Mayers

Where there is a shell, there is a way

Offline lossoth

  • Newbie
  • *
  • Post: 20
    • Mostra profilo
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #13 il: 11 Ottobre 2011, 12:17:59 »
scusa la domanda da ignorante: ma una volta abilitato SELinux mi si attiva netfilter?

Offline mayers81

  • Hero Member
  • *****
  • Post: 613
    • Mostra profilo
    • E-mail
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #14 il: 11 Ottobre 2011, 12:24:12 »
se linux se leggi un sistema di protezione che copre da eventuali bachi di sistema quindi blinda la tua macchina
Mayers

Where there is a shell, there is a way

 

Notizie

Benvenuto su CentOS-Italia.org , disponibile anche su mobile con Tapatalk

Collegamenti

Posts Recenti

Utenti
Statistiche
  • Post in totale: 13004
  • Topic in totale: 2917
  • Online Oggi: 234
  • Massimi online: 975
  • (03 Novembre 2018, 08:19:28)
Utenti Online
Utenti: 0
Visitatori: 189
Totale: 189

Permessi

-no content-

ShoutBox!

Ultimo 5 Shout:

fzphoto

19 Febbraio 2018, 09:18:24
Ciao a tutti. Ho installato l'ultima versione di centos 7 per poter lavorare comodamente con DaVinci resolve 14. Solo che non riesco, ne a installare il programma Davinci, ne tanto meno, il driver nvidia per la scheda grafica geoforce 1080 ti. Sul web non trovo niente che mi aiuti. Premetto che sono

aner64

07 Febbraio 2018, 11:21:40
Buongiorno. Ho installato l'ultima versione di CENTOS7 aggiornata alla 7.0.4.1708. Ho bisogno di fare un restore di file da un filesystem reiserfs. CENTOS7 non ha reiserfs tra i FS e bisogna installarlo. Quando di cerca di installare kmod-reiserfs-0.0-2.el7.elrepo.x86_64.rpm escono errori per mancan
 

LonelyWolf

28 Dicembre 2017, 08:37:34
da ieri non vedo pi il css solo un problema mio?

inetryconydot

08 Settembre 2017, 07:44:23

inetryconydot

20 Maggio 2017, 10:00:13
Stromectol is used for treating infections caused by certain parasites. Stromectol is an anthelmintic. It works by killing sensitive parasites.
 
Stromectol as known as: Ivectin, Ivenox, Ivera, Ivergot, Ivermec, Ivermectina, Ivermectine, Ivermectinum, Ivert, Ivexterm, Kilox, Mectizan, Quan

Mostra ultimi 50