* * *
Benvenuto! Effettua l'accesso oppure registrati.
16 Aprile 2021, 13:39:17

Inserisci il nome utente, la password e la durata della sessione.

Links

ads

Benvenuto


Benvenuto su la Community CentOS-Italia.Org

La Community Italiana di Linux CentOS e' lieta di averti tra noi , CentOS-Italia.Org e' un risorsa di guide e forum dal principiante al sistemista senior.
Clicca qua per registrati ora

La registrazione e' gratuita e ti consente di avere pieno accesso alle risorse di CentOS-Italia.org , come uso della ricerca avanzata , le funzioni interattive del portale e visualizzare i links nei post.
Gli utenti registrati non visualizzano gli ads, quindi registrati subito se non l'hai gia fatto.

Lo staff di CentOS-Italia.Org cerca di rendere la community un posto piacevole e il piu' produttivo possibile, invitiamo quindi i nuovi utenti a leggere le regole base.
Per info o problemi di registrazione scrivere a centos (at) centos-italia.org .

Autore Topic: attacco "SYN FLOOD" con spoofed IP  (Letto 25526 volte)

Offline lossoth

  • Newbie
  • *
  • Post: 20
    • Mostra profilo
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #15 il: 11 Ottobre 2011, 12:50:03 »
che trippone! ho trovato il parametro che cercavo! :
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_recv

Posso tornare a considerare i tuning che mi suggerivi.
Non abiulito SELinux in quanto non posso rischiare di corrompere il filesystem...

Grazie per la pazienza, spero di riuscire a limitare sto attacco...

Offline mayers81

  • Hero Member
  • *****
  • Post: 613
    • Mostra profilo
    • E-mail
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #16 il: 11 Ottobre 2011, 13:00:49 »
io l'ho tengo sempre abilitato perch protegge da eventuali bachi di sistema ;D ;D
Mayers

Where there is a shell, there is a way

Offline LonelyWolf

  • Moderator
  • Hero Member
  • *****
  • Post: 1392
    • Mostra profilo
    • Traversate dei laghi
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #17 il: 11 Ottobre 2011, 14:09:39 »
...
Non abiulito SELinux in quanto non posso rischiare di corrompere il filesystem...

...

?!?

Offline lossoth

  • Newbie
  • *
  • Post: 20
    • Mostra profilo
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #18 il: 11 Ottobre 2011, 15:20:33 »
per passare da "off" a "on" SELinux pu fare dei danni, c' scritto qui:
http://wiki.centos.org/HowTos/SELinux#head-867ca18a09f3103705cdb04b7d2581b69cd74c55

In questo momento non posso avere anche altre rogne:
sto syn flood da una settimana che mi distrugge...
praticamente sto rischiando il posto (non sto scherzando)

Quindi per favore, pu essere veramente ultile al mio scopo SELinux? da quello che vedo dalla documentazione no

Per adesso ho sistemato le variabili net.ipv4 secondo quanto indicato in varie guide,
ma non riscontro miglioramenti nella velocit del sito, adesso passo al tuning che mi consigliava dankan77 nella prima risposta

Offline mayers81

  • Hero Member
  • *****
  • Post: 613
    • Mostra profilo
    • E-mail
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #19 il: 11 Ottobre 2011, 15:30:15 »
il concetto questo!!! Selinux una protezione in pi che spesso puo essere utilie e coprire eventuali bachi di sistema.

Non a caso ci sono delle boolean vedi la mia guida personalizzare selinux

Un sistema sicuro ha sicuramente selinux attivato

Spesso pero trovi how to con disabilitiamo iptables e selinux cosi non abbiamo problemi!!!!!!!  ??? ??? ??? ??? ??? ??? ??? ??? ??? ??? ???

auditlog un valido srumento per la creazione di policy personalizzate

Mi gia successo di danneggiare una macchina selinux disable di defualt lo metti in enable riavvi centos non parte sulla guida anche spiegato il motivo.

Piuttosto di default mettetelo in permissive cosi esegue i log attivo ma non blocca nulla.
Mayers

Where there is a shell, there is a way

Offline LonelyWolf

  • Moderator
  • Hero Member
  • *****
  • Post: 1392
    • Mostra profilo
    • Traversate dei laghi
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #20 il: 11 Ottobre 2011, 16:45:28 »
Ho letto attentamente (e pi di una volta) ma non trovo scritto da nessuna parte di danneggiamenti al file system.
L'unico inconveniente che, non avendolo mai abilitato (per questo io lo imposto sempre in permissive) le policy di accesso ai file non sono "corrette" e quindi vanno reimpostate, come scritto nella pagina che mi hai elencato.

Ora, tornando al tuo problema, il sito che tecnologie usa (php, mysql, ecc.)?


Offline lossoth

  • Newbie
  • *
  • Post: 20
    • Mostra profilo
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #21 il: 11 Ottobre 2011, 17:23:01 »
php, anche se adesso il php che gira nella macchina fermo
la macchina sotto attacco fa da proxy verso un'altra dove gira effettivamente php e postgres che servono al funzionamento minimo.
Adesso che sotto attacco apache soggetto al 50% del lavoro standard: praticamente fa solo il proxy verso l'altro server e delivera delle immagini piccole

Offline lossoth

  • Newbie
  • *
  • Post: 20
    • Mostra profilo
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #22 il: 11 Ottobre 2011, 17:25:01 »
per alleviare i sintomi dell'attacco ho fermato tutto il php e postgres che girano sulla macchina in questione
praticamente la parte pubblica (www) funziona bene ma manca met della roba...
non so se mi sono spiegato...

Offline LonelyWolf

  • Moderator
  • Hero Member
  • *****
  • Post: 1392
    • Mostra profilo
    • Traversate dei laghi
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #23 il: 11 Ottobre 2011, 17:42:44 »
Quindi, se ho capito bene, hai 2 macchina, 1 che è il server vero e proprio e 1 che fa da proxy ed è "sotto attacco".
Ma php sulla macchina proxy a cosa serve?
Su che porta gira il proxy?

Edit:
Il log di postgresql sull'altra macchina non riporta nulla di strano?
« Ultima modifica: 11 Ottobre 2011, 17:48:11 di LonelyWolf »

Offline lossoth

  • Newbie
  • *
  • Post: 20
    • Mostra profilo
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #24 il: 11 Ottobre 2011, 18:05:32 »
per semplicita chiamiamo:
00 - server principale che fa da proxy
01 - l'altro server

a regime la 00 deve soddisfare alcune richieste www (dipendenti da particolare url api inviati da ajax): queste vengono deliverate dalla 00 stessa tramite php e il suo db postgres e sono quelle che ho bloccato adesso e che mi fanno andare il sito "a met"

tutto ci che non "api" viene reindirizzato alla 01

il "proxy" nella 00 viene fatto con le regole mod rewrite di httpd.conf

i log di postgres sulla 01 non hanno nulla di strano, perch dovrebbero?

Offline LonelyWolf

  • Moderator
  • Hero Member
  • *****
  • Post: 1392
    • Mostra profilo
    • Traversate dei laghi
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #25 il: 11 Ottobre 2011, 18:21:57 »
Non è che "dovrebbero", però php+postgresql = lento (rispetto a mysql o python+postgresql) quindi pensavo magari a connessioni al db scadute che rallentano l'esecuzione di tutto e potrebbero lasciare delle richieste di apache in sospeso.

Se adesso riattivi postgresql, è immediatamente lento tutto il sistema?

Se il rallentamento avviene dopo del tempo io indagherei anche sulle connessioni al db e i rewrite delle url (che non è proxy).
« Ultima modifica: 11 Ottobre 2011, 18:29:37 di LonelyWolf »

Offline lossoth

  • Newbie
  • *
  • Post: 20
    • Mostra profilo
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #26 il: 11 Ottobre 2011, 19:17:28 »
Ho fatto veri test nei giorni passati per essere sicuro di escludere quanto dici.
Infatti con postgres spento sulla 00 comunque lento, cosa che prima del syn flood non succedeva.
E' colpa di sto attacco...
La cosa strana che ho fatto tutte le modifiche ai parametri tcp che ho trovato (in parte indicatemi da dankan77 nella prima risposta), ma non rieco a vedere miglioramenti

 :-[

riporto il mio sysctl.conf

Codice: [Seleziona]
# Kernel sysctl configuration file for Red Hat Linux
#
# For binary values, 0 is disabled, 1 is enabled.  See sysctl(8) and
# sysctl.conf(5) for more details.

# Controls IP packet forwarding
net.ipv4.ip_forward = 0

# Controls source route verification
net.ipv4.conf.default.rp_filter = 1

# Do not accept source routing
net.ipv4.conf.default.accept_source_route = 0

# Controls the System Request debugging functionality of the kernel
kernel.sysrq = 1

# Controls whether core dumps will append the PID to the core filename
# Useful for debugging multi-threaded applications
kernel.core_uses_pid = 1

# Controls the use of TCP syncookies
net.ipv4.tcp_syncookies = 1

# Controls the maximum size of a message, in bytes
kernel.msgmnb = 65536

# Controls the default maxmimum size of a mesage queue
kernel.msgmax = 65536

# Controls the maximum shared segment size, in bytes
kernel.shmmax = 68719476736

# Controls the maximum number of shared memory segments, in pages
kernel.shmall = 4294967296

#custom: 20111007: prevent syn flood:
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 1
net.core.wmem_max = 12582912
net.core.rmem_max = 12582912
net.ipv4.tcp_rmem = 10240 87380 12582912
net.ipv4.tcp_wmem = 10240 87380 12582912
net.ipv4.tcp_no_metrics_save = 1
net.core.netdev_max_backlog = 5000
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.netfilter.ip_conntrack_max = 131072
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 208000
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 80
net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 20
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 40
net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 20

Offline lossoth

  • Newbie
  • *
  • Post: 20
    • Mostra profilo
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #27 il: 11 Ottobre 2011, 19:23:10 »
altra precisazione:
la 01 non lenta, cio la parte del sito generata dalla 01 ok
il problema appunto sulla parte servita dalla 00
quindi per il problemna possimo escludere la 01, il "proxy", php e postrgres della 00 in quanto adesso sono spenti
adesso apache della 00 non fa altro che servire delle immagini, il "RewriteRule" che punta alla 01 veloce
alcune immagini impiegano pi di tre secondi a caricarsi, mentre prima del syn flood era tutto nell'ordine dei millisecs
il problema prima di apache, netstat mostra un casino di SYN_RECV che non riesco a diminuire neanche abbassando il timeout ip_conntrack_tcp_timeout_syn_recv a 1
« Ultima modifica: 11 Ottobre 2011, 19:25:39 di lossoth »

Offline LonelyWolf

  • Moderator
  • Hero Member
  • *****
  • Post: 1392
    • Mostra profilo
    • Traversate dei laghi
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #28 il: 11 Ottobre 2011, 22:16:18 »
OK, controllo dei log di apache x vedere se c' qualche cosa d istrano, dns e host che non s iinstradino male e controllo delle schede di rete prova a "buttarle gi" e rialzarle.
Come sono collegati i 2 server tra loro e alla rete?

Offline lossoth

  • Newbie
  • *
  • Post: 20
    • Mostra profilo
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #29 il: 12 Ottobre 2011, 10:08:57 »
non mi pare di vedere nulla di strano nei log apache
i server sono a noleggio, non li ho sotto mano
ho chiesto all'assistenza di verificare la scheda rete della 00 e mi hanno detto che non c' nulla di strano
presumo che i server siano collegati a interne tramite un qualche router e non ci sono collegameti tra di loro, parlano appunto via internet

 

Notizie

Per problemi di registrazione scrivere a centos (at) centos-italia (dot) org

Collegamenti

Posts Recenti

Utenti
  • Utenti in totale: 5959
  • Ultimo: Sina
Statistiche
  • Post in totale: 13156
  • Topic in totale: 2961
  • Online Oggi: 176
  • Massimi online: 9639
  • (14 Gennaio 2020, 10:20:21)
Utenti Online
Utenti: 0
Visitatori: 132
Totale: 132

Permessi

-no content-

ShoutBox!

Ultimo 5 Shout:

fzphoto

19 Febbraio 2018, 09:18:24
Ciao a tutti. Ho installato l'ultima versione di centos 7 per poter lavorare comodamente con DaVinci resolve 14. Solo che non riesco, ne a installare il programma Davinci, ne tanto meno, il driver nvidia per la scheda grafica geoforce 1080 ti. Sul web non trovo niente che mi aiuti. Premetto che sono

aner64

07 Febbraio 2018, 11:21:40
Buongiorno. Ho installato l'ultima versione di CENTOS7 aggiornata alla 7.0.4.1708. Ho bisogno di fare un restore di file da un filesystem reiserfs. CENTOS7 non ha reiserfs tra i FS e bisogna installarlo. Quando di cerca di installare kmod-reiserfs-0.0-2.el7.elrepo.x86_64.rpm escono errori per mancan
 

LonelyWolf

28 Dicembre 2017, 08:37:34
da ieri non vedo pi il css solo un problema mio?

trattore

28 Settembre 2015, 03:30:48
ma qui non c' mai nessuno
 ;)

ivo

26 Agosto 2015, 16:01:14
Ho configurato il DHCP creato il file /etc/dhcpd.conf con il seguente contenuto
-------------------------------------------------------------------------------
ddns-update-style interim;
ignore client-updates;

authoritative;

subnet 172.16.208.96 netmask 255.255.255.240 {
    option routers      

Mostra ultimi 50