* * *
Benvenuto! Effettua l'accesso oppure registrati.
16 Aprile 2021, 02:34:32

Inserisci il nome utente, la password e la durata della sessione.

Links

ads

Benvenuto


Benvenuto su la Community CentOS-Italia.Org

La Community Italiana di Linux CentOS e' lieta di averti tra noi , CentOS-Italia.Org e' un risorsa di guide e forum dal principiante al sistemista senior.
Clicca qua per registrati ora

La registrazione e' gratuita e ti consente di avere pieno accesso alle risorse di CentOS-Italia.org , come uso della ricerca avanzata , le funzioni interattive del portale e visualizzare i links nei post.
Gli utenti registrati non visualizzano gli ads, quindi registrati subito se non l'hai gia fatto.

Lo staff di CentOS-Italia.Org cerca di rendere la community un posto piacevole e il piu' produttivo possibile, invitiamo quindi i nuovi utenti a leggere le regole base.
Per info o problemi di registrazione scrivere a centos (at) centos-italia.org .

Autore Topic: attacco "SYN FLOOD" con spoofed IP  (Letto 25521 volte)

Offline dankan77

  • Moderator
  • Hero Member
  • *****
  • Post: 1365
    • Mostra profilo
    • E-mail
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #30 il: 12 Ottobre 2011, 11:03:59 »
Ciao,
riesci a girarci uno schema architetturale della tua struttura applicativa?
Riesci a raccogliere statisticamente i Syn  (mediante script oppure mediante monitoraggio statistico)?
Magari sarebbe già interessante valutare un SAR completo delle macchine del tuo ambiente per capire se ci sono ulteriori colli di bottiglia senza staccare spegnere o fare prove con una mano sola.
Se riesci a produrre queste info avremmo tutti un quadro della situazione e potremmo sicuramente offrirti una mano oltre a farti crescere apprendendo magari un approccio più di di tipo enterprise fac-simile :-)

Ciao

Offline LonelyWolf

  • Moderator
  • Hero Member
  • *****
  • Post: 1392
    • Mostra profilo
    • Traversate dei laghi
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #31 il: 12 Ottobre 2011, 11:12:41 »
Pensavo potessi controllarli direttamente.
A me era successa una cosa simile con un vecchio pc che faceva da firewall con una distro apposita ed il problema era proprio una scheda di rete, appena cambiata tutto è tronato a posto.

Comunque, prova con queste:
Codice: [Seleziona]
iptables -A INPUT -p tcp --dport 80 -m hashlimit --hashlimit-upto 50/min --hashlimit-burst 600 --hashlimit-mode srcip --hashlimit-name http -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP

Se hai editato /etc/sysctl.conf ti sei ricordato di riavviare il servizio?
idem per iptables.

Edit:
Potresti anche aumentare temporaneamente la direttiva ListenBackLog di apache mentre l'attacco è in corso, anche se serve solo a tamponare i sintomi.
« Ultima modifica: 12 Ottobre 2011, 11:33:10 di LonelyWolf »

Offline lossoth

  • Newbie
  • *
  • Post: 20
    • Mostra profilo
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #32 il: 12 Ottobre 2011, 12:23:50 »
E' un po' presto per cantare vittoria ma MI SEMBRA DI AVERE RISOLTO
o meglio, di avare limitato in maniera accettabile i rallentamenti dovuti al syn flood.
Questo grazie alle ultime modifiche ai parametri tcp (vedi post di ieri)
Ho riavviato tutta l'applicazione al 100% e sembra reggano sia attività di frontend che backend.
Ci sono dei rallentamenti ma da un'ora sembra reggere... vediamo nel pomeriggio che ho il picco di utenze

RINGRAZIO IMMENSAMENTE TUTTI PER L'AIUTO E LA PAZIENZA
come avrete notato non sono un sistemista scaltro: principalmente programmo, solo che avendo da gestire una webapp distribuita su 10 server e NON essendoci un sistemista vero e proprio, mi devo arrangiare. Fino adesso non ero mai sceso a livello tcp me l'ero sempre cavata con cose a "più alto livello". Purtroppo l'attacco è avvenuto alla macchina principale del sistema e guarda caso in questi giorni il mio capo (che ne capisce più di me a livello sistemistico) è in giro per il mondo e non mi può aiutare.

COMUNQUE Il discorso non è chiuso perchè voglio capire meglio alcune cose e propagare le modifiche agli altri server.
Soprattutto: è veramente impossibile risalire all'autore dell'attacco se questo usa IP cammuffati, o c'è qualche trucchetto alla "film americano"?

@LoneyWolf
- Il supporto tecnico dei server mi ha assicurato che l'hardware è ok
- Ho già messo una cosa molto simile in iptables anche per la porta 22
- Certo che riavvio sysctl e iptables [fin li ci arrivo :)]
- ListenBackLog = 10000

@dankan77
- lo schema architetturale della mia webapp è abbastanza complesso: 10 server come dicevo prima. Posso certo fornirlo ma penso che per la questione del syn flood facciamo prima a simulare che sia su una macchina unica e pari. Ho già fatto tutti i test con "prova del 9" per assicurarmi che non sia il mio sistema stesso che mi causa questo overload di syn requests. Della cosa ne sono abbastanza sicuro: quello è il mio pane php quotidiano...
- fino adesso per lavorare sui syn ho usato netstat e vari grep per evdenziare gli ip...
ma immagino che tu intenda qualcosa di più strutturato... puoi darmi qualche indicazione ulteriore magari che valori monitorare e se c'è qualche tool?
- non so cosa sia un "SAR", indago...
- sempre pronto a crescere, cosa intendi per "approccio più di di tipo enterprise fac-simile" :)

Offline smeserver

  • Hero Member
  • *****
  • Post: 1313
    • Mostra profilo
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #33 il: 12 Ottobre 2011, 12:24:44 »
consiglierei all'OP anche di porre la domanda, con quanti più dettagli possibili (i.e. un riassunto di quanto descritto qui per imp0ostazioni macchina/e e architettura) sul ng it.comp.os.linux.sys, dove leggono eminenze grigie degli isp nostrani (anche MOLTO grossi e noti).. certamente potrà avere qualche suggerimento in più

Offline dankan77

  • Moderator
  • Hero Member
  • *****
  • Post: 1365
    • Mostra profilo
    • E-mail
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #34 il: 12 Ottobre 2011, 14:57:35 »
Per quanto riguarda lo schema architetturale è sempre bene disegnarlo magari con DIA e scrivere documentazione sui vari processi e customizzazioni dei sistemi in modo da sapere bene cosa fà ogni server.
Molte aziende creano una knowledge base interna come repository ufficiale di progetto.
Il sar fà parte del pacchetto sysstat che è presente in qualsiasi distro linux/unix tu possa conoscere o avere conosciuto :-) installalo(ma penso che sia già presente) sui sistemi centos con yum install sysstat e studiati come funziona.
Come tools statistico io utilizzo munin, ad esempio con le statistiche di netstat potresti vedere non solo le statistiche dei syn/fyn ma anche dei pacchetti di reset e tutta la parte networking e netfilter (iptables) in maniera molto dettagliata.
La parte di tuning di un sistema Unix/Linux è la parte più interessante per un sistemista. :-)
Quando mi sono avvicinato a Linux lo spot era chiaro:
Vuoi far rivivere il tuo vecchio 386 in cantina?
Usa Linux e spremi fino all'ultimo bit dal tuo HW a costo zero. :)

Oggi che l'HW costa niente è sempre più difficile trovare tuning fatti bene perchè si tende a scalare sia orizzontalmente che verticalmente senza far uso di un processo di capacity management e verificare quanto si può spremere da un server sia fisico che virtuale :-)
E' il sistemista che fà la differenza non solo il ferro/budget!
Buon studio.
Ciao

Offline lossoth

  • Newbie
  • *
  • Post: 20
    • Mostra profilo
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #35 il: 12 Ottobre 2011, 16:50:50 »
Sto studiando alla grande...

Ma che ci sia una maniera di risalire all'IP effettivo che compie l'attacco? O è meglio che lascio perdere e mi concentro su come difendermi...?

Offline dankan77

  • Moderator
  • Hero Member
  • *****
  • Post: 1365
    • Mostra profilo
    • E-mail
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #36 il: 12 Ottobre 2011, 17:19:33 »
Dal manuale di nmap:

-S <IP_Address> (Spoof source address)

    In some circumstances, Nmap may not be able to determine your source address (Nmap will tell you if this is the case). In this situation, use -S with the IP address of the interface you wish to send packets through.

    Another possible use of this flag is to spoof the scan to make the targets think that someone else is scanning them. Imagine a company being repeatedly port scanned by a competitor! The -e option and -Pn are generally required for this sort of usage. Note that you usually won't receive reply packets back (they will be addressed to the IP you are spoofing), so Nmap won't produce useful reports.

A questo punto se chi attacca non riceve nessun report statistico perchè di fatto gli ip spoof"ati" procedono a ritroso verso il falso source come potresti fare tu a risalire al tuo aggressore?
Prima o poi si stancherà :-)

Ciao

Offline lossoth

  • Newbie
  • *
  • Post: 20
    • Mostra profilo
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #37 il: 14 Ottobre 2011, 10:46:11 »
Ciao, rieccomi ancora con altri problemi.
 :'(
Da quando ho riacceso tutto ho dei problemi con postges: alcune volte ha dei rallentamenti improvvisi e le query fatte dall'interfaccia web sono troppo lente.
Postgres gira sulla stessa macchina sotto attacco e viene lanciato dal php sempre sulla stessa macchina per eseguire delle query da visualizzare nella parte pubblica web.
Ieri ho fatto un po' di tuning di postgresql.conf alzando i seguenti valori da -> a:
- max_connections 200->400
- shared_buffers 32Mb->64Mb
- effective_cache_size 128Mb -> 4096Mb
(il server ha 8Gb RAM)

C'è una cosa strana che non capisto:
analizzando i log delle query fatte da php via apache queste sono nell'ordine dei 5 secondi! mentre la stessa query lanciata con explain analyze in psql sul medesimo db (via shell) da un tempo nell'ordine dei 0.05 millisecondi!
Quindi non è il db in se ad andare piano, ma è quando una query viene lanciata da php.

Qualche idea?

PS:
riguardo la documentazione e gli schemi della mia applicazione: non posso girarvi pari pari la documentazione ufficiale (già parlato con i capi...), dovrei riscriverla ad hoc e non ho tempo...
Però per questo problema possiamo supporre di avere a che fare con un unico server sotto attacco dove gira Apache, php e postgres.
« Ultima modifica: 14 Ottobre 2011, 10:54:57 di lossoth »

Offline LonelyWolf

  • Moderator
  • Hero Member
  • *****
  • Post: 1392
    • Mostra profilo
    • Traversate dei laghi
Re: attacco "SYN FLOOD" con spoofed IP
« Risposta #38 il: 14 Ottobre 2011, 12:07:31 »
Come ti ho scritto qualche post indietro, postgres è molto lento con php rispetto a qualsiasi altro strumento usi per connetterti (a.e. python).
Qua ha fatto dei test (xò è il 2008) dove è proprio la coppia php+postgres ad essere lenta:
http://blog.charcoalphile.com/2008/02/22/php-is-slow-really-slow/

Qua potresti trovare qualche soluzione:
http://wiki.postgresql.org/wiki/FAQ#Why_are_my_queries_slow.3F_Why_don.27t_they_use_my_indexes.3F
http://wiki.postgresql.org/wiki/SlowQueryQuestions

Comunque se vogliamo passare a quest'altro argomento è meglio aprire un nuovo topic.

 

Notizie

Per un veloce Download di CentOS 6 http://mi.mirror.garr.it/mirrors/CentOS/6.4/isos/ Per una ricerca veloce su google linux http://www.google.it/linux

Collegamenti

Posts Recenti

Utenti
  • Utenti in totale: 5959
  • Ultimo: Sina
Statistiche
  • Post in totale: 13156
  • Topic in totale: 2961
  • Online Oggi: 176
  • Massimi online: 9639
  • (14 Gennaio 2020, 10:20:21)
Utenti Online
Utenti: 0
Visitatori: 158
Totale: 158

Permessi

-no content-

ShoutBox!

Ultimo 5 Shout:

fzphoto

19 Febbraio 2018, 09:18:24
Ciao a tutti. Ho installato l'ultima versione di centos 7 per poter lavorare comodamente con DaVinci resolve 14. Solo che non riesco, ne a installare il programma Davinci, ne tanto meno, il driver nvidia per la scheda grafica geoforce 1080 ti. Sul web non trovo niente che mi aiuti. Premetto che sono

aner64

07 Febbraio 2018, 11:21:40
Buongiorno. Ho installato l'ultima versione di CENTOS7 aggiornata alla 7.0.4.1708. Ho bisogno di fare un restore di file da un filesystem reiserfs. CENTOS7 non ha reiserfs tra i FS e bisogna installarlo. Quando di cerca di installare kmod-reiserfs-0.0-2.el7.elrepo.x86_64.rpm escono errori per mancan
 

LonelyWolf

28 Dicembre 2017, 08:37:34
da ieri non vedo più il css è solo un problema mio?

trattore

28 Settembre 2015, 03:30:48
ma qui non c'è mai nessuno
 ;)

ivo

26 Agosto 2015, 16:01:14
Ho configurato il DHCP creato il file /etc/dhcpd.conf con il seguente contenuto
-------------------------------------------------------------------------------
ddns-update-style interim;
ignore client-updates;

authoritative;

subnet 172.16.208.96 netmask 255.255.255.240 {
    option routers      

Mostra ultimi 50