Running netstat
zeigt Hunderte von dieser Zeile, auch nach dem Neustart des Servers - es beginnt erneut zu senden, verursacht viele Verbindungen zu dieser IP.
Ich habe alle Skripte gestoppt, aber es versucht es immer noch.
Ich weiß, das bedeutet, dass die IP nicht auf SYN_SENT
reagiert, aber wie kann ich diese SYN_SENT
stoppen? Oder was ist die beste Lösung dafür?
Danke.
Diese Frage scheint viele Ansichten zu bekommen, aber noch keine Antwort, also habe ich beschlossen, meine eigene Frage für jeden zu beantworten, der nach einer Lösung sucht.
Als erstes, den Grund zu kennen, ist die Hälfte der Lösung. Ich war unter dem sogenannten SYN Flooding Attack, der das Verhalten des HTTP-Protokolls gegen sich selbst verwendet.
Kurz gesagt versucht der Remote-Client eine Verbindung mit Ihrem Server herzustellen, indem er SYN sendet, Ihr Server antwortet mit SYN_ACK (in Ihren Protokollen sehen Sie SYN_SENT) und wartet, bis er ACK empfängt. Wenn ACK nicht innerhalb von xx Sekunden empfangen wird, sendet Ihr Server erneut SYN_ACK, .... und wieder .... und erneut. Es wird schließlich den konfigurierten Schwellenwert erreichen und keine weitere SYN-Anfrage akzeptieren, die dazu führt, dass Ihr Server nicht mehr reagiert. Eines der Symptome, das mir passierte, war, dass meine Website einmal reagierte, als ob nichts falsch wäre, aber in den nächsten xx-Zeiten nicht reagierte.
Die Lösung, die für mich funktionierte, war das Aktivieren von SYN-Cookies, SSH auf Ihrem Server, Öffnen Sie die folgende Datei mit Ihrem bevorzugten Editor. Ich verwende in diesem Beispiel vi
%Vor%Fügen Sie diese Zeilen zur Datei hinzu und starten Sie den Server neu. Hoffentlich wird dies den Angriff stoppen, wie es für mich getan hat
%Vor%Ich habe CentOS benutzt, ich denke, die obige Lösung wird auf allen Distributionen funktionieren, aber für den Fall, dass sie nicht nach "Wie man SYN Flooding Attack stoppt" für Ihre Linux-Distribution sucht
Nebenbei bemerkt, das Blockieren der IPs, die die SYN-Anfragen initiieren, wird wahrscheinlich nicht helfen, weil der Angreifer die IPs höchstwahrscheinlich gefälscht hat
Tags und Links linux dedicated-server