1. घर
  2. सवाल और जवाब
  3. SYN_SENT को कैसे रोकें?

SYN_SENT को कैसे रोकें?

2012-07-30 33 views
8

चल रहा है netstat सर्वर को रिबूट करने के बाद भी इस लाइन का सैकड़ों दिखा रहा है - यह फिर से भेजना शुरू कर देता है, जिससे उस आईपी के कई कनेक्शन होते हैं।SYN_SENT को कैसे रोकें?

tcp  0  1 server1700.skdedicate:36283 154.45.206.59:https SYN_SENT 
tcp  0  1 server1700.skdedicate:36283 154.45.206.59:https SYN_SENT 
tcp  0  1 server1700.skdedicate:36283 154.45.206.59:https SYN_SENT 
tcp  0  1 server1700.skdedicate:36283 154.45.206.59:https SYN_SENT 
tcp  0  1 server1700.skdedicate:36283 154.45.206.59:https SYN_SENT

मैंने सभी स्क्रिप्ट को रोक दिया, लेकिन यह अभी भी कोशिश करता रहता है।

मुझे पता है इसका मतलब है कि आईपी SYN_SENT का जवाब नहीं दे रहा है, लेकिन मैं उन SYN_SENT को कैसे रोक सकता हूं? या इसका सबसे अच्छा समाधान क्या है?

धन्यवाद।

स्रोत

2012-07-30 EGN

+1

भागो क्योंकि सबसे अधिक संभावना हमलावर जाली है मदद नहीं करेगा netstat -pnt' अवरुद्ध प्रक्रिया का नाम पाने के लिए कि सॉकेट का मालिक है। –

+0

@AlanCurry: टीसीपी 0 1 213.163.64.207:39316 154.45.206.59:443 SYN_ SENT 12388/httpd। यह httpd द्वारा खोला गया लेकिन मैं वहां पोर्ट 443 देखता हूं, क्या वह अजीब नहीं है ?? – EGN

+0

फिर आप अपने वेब सर्वर को बेहतर तरीके से देखें और देखें कि आउटगोइंग HTTPS कनेक्शन बनाने के कारण क्या हो सकता है। वैसे जब मैं उस आईपी पते पर एक https अनुरोध का प्रयास करता हूं तो मुझे rapidshare.com पर एक पुनर्निर्देशन मिलता है ताकि –

उत्तर

31

इस प्रश्न को कई विचार मिल रहे हैं लेकिन अभी तक कोई जवाब नहीं है, इसलिए मैंने समाधान के लिए किसी को भी अपने प्रश्न का उत्तर देने का फैसला किया।

पहली बात यह है कि कारण जानना समाधान का आधा है। मैं एसईएन फ्लडिंग अटैक कहलाता हूं, जो खुद के खिलाफ HTTP प्रोटोकॉल व्यवहार का उपयोग करता है

इसका संक्षेप में, दूरस्थ क्लाइंट SYN भेजकर आपके सर्वर के साथ कनेक्शन स्थापित करने का प्रयास करता है, आपका सर्वर SYN_ACK के साथ जवाब देता है (आपके लॉग में आप SYN_SENT देखेंगे) और एसीके प्राप्त होने तक प्रतीक्षा करेंगे। यदि एक्सएक्स सेकंड के भीतर एसीके प्राप्त नहीं होता है, तो आपका सर्वर फिर से SYN_ACK भेज देगा, .... और फिर .... और फिर। यह अंततः कॉन्फ़िगर किए गए थ्रेसहोल्ड तक पहुंच जाएगा और आपके सर्वर को उत्तरदायी बनाने के लिए और भी SYN अनुरोध स्वीकार करना बंद कर देगा। मेरे साथ होने वाले लक्षणों में से एक यह था कि मेरी वेबसाइट एक बार प्रतिक्रिया दे रही थी जैसे कि कुछ भी गलत नहीं है लेकिन अगले xx बार में प्रतिक्रिया नहीं दे रहा है।

HTTP Protocol SYN

समाधान है कि काम किया मुझे अपने सर्वर में SYN कुकीज़, SSH सक्षम करने गया था के लिए, अपने पसंदीदा संपादक का उपयोग कर निम्न फ़ाइल खोलें। मैं इस उदाहरण में vi का उपयोग कर रहा हूं

vi /etc/sysctl.conf

और इन पंक्तियों को फ़ाइल में जोड़ें, फिर अपने सर्वर को पुनरारंभ करें। के रूप में यह मेरे लिए किया था

net.ipv4.tcp_syncookies = 1 
net.ipv4.tcp_max_syn_backlog = 2048 
net.ipv4.tcp_synack_retries = 3

मैं CentOS उपयोग कर रहा था उम्मीद है कि इस हमले बंद हो जाएगा, मुझे लगता है कि इसके बाद के संस्करण समाधान सभी वितरण पर काम करेगा, लेकिन मामले में यह "कैसे को रोकने के लिए SYN बाढ़ हमले" के लिए खोज नहीं की थी अपने Linux वितरण

एक तरफ ध्यान दें पर, आईपी SYN अनुरोधों की शुरुआत शायद `आईपी

स्रोत

2014-06-11 20:14:14 EGN

+0

जब आपको पता चलता है कि आपका समाधान> 17 के उपयोगकर्ताओं द्वारा देखा गया था लेकिन केवल 12 वोट प्राप्त हुए :( – EGN

+4

यहां, मेरा ले लो :) – javabot

संबंधित मुद्दे

 संबंधित मुद्दे