SYN FLOOD

[Seal]

Arkadaşlar hangi programla saldırıyorlar bilmiyorum ama Serverime SYN FLOOD yapılıyor.

Konsoldan :

netstat -np | grep SYN_RECV

yaptığımda zaten IP'ler beliriyor. CPU'm yükseldiği anda yani saldırı olduğu andaki kopyaladığım bir sonucu da yazayım:

Alıntı:

root@client-196-20 [~]# netstat -np | grep SYN_RECV
tcp 0 0 62.*.*.*:80 85.106.132.234:28008 SYN_RECV -
tcp 0 0 62.*.*.*:80 85.106.132.234:28014 SYN_RECV -
tcp 0 0 62.*.*.*:80 81.215.237.83:1175 SYN_RECV -
tcp 0 0 62.*.*.*:80 81.215.237.83:1179 SYN_RECV -
tcp 0 0 62.*.*.*:80 85.106.132.234:28007 SYN_RECV -
tcp 0 0 62.*.*.*:80 85.106.132.234:28010 SYN_RECV -
tcp 0 0 62.*.*.*:80 85.106.132.234:28009 SYN_RECV -
tcp 0 0 62.*.*.*:80 81.215.237.83:1172 SYN_RECV -
tcp 0 0 62.*.*.*:80 81.215.237.83:1177 SYN_RECV -
tcp 0 0 62.*.*.*:80 85.102.50.22:50706 SYN_RECV -
tcp 0 0 62.*.*.*:80 81.215.237.83:1173 SYN_RECV -
tcp 0 0 62.*.*.*:80 81.215.237.83:1178 SYN_RECV -
tcp 0 0 62.*.*.*:80 85.106.132.234:28005 SYN_RECV -
tcp 0 0 62.*.*.*:80 85.106.132.234:28001 SYN_RECV -
tcp 0 0 62.*.*.*:80 81.215.237.83:1167 SYN_RECV -
tcp 0 0 62.*.*.*:80 81.215.237.83:1171 SYN_RECV -
tcp 0 0 62.*.*.*:80 81.215.237.83:1168 SYN_RECV -
tcp 0 0 62.*.*.*:80 85.102.50.22:50707 SYN_RECV -
tcp 0 0 62.*.*.*:80 85.106.132.234:28011 SYN_RECV -
tcp 0 0 62.*.*.*:80 85.106.132.234:28006 SYN_RECV -
tcp 0 0 62.*.*.*:80 81.215.237.83:1176 SYN_RECV -
tcp 0 0 62.*.*.*:80 85.106.132.234:28002 SYN_RECV -
tcp 0 0 62.*.*.*:80 81.215.237.83:1174 SYN_RECV -

Arkadaşlar iki sorum olcak :

1) Bu sonuçlar o an SYN FLOOD olduğunu gösteriyor sanırım değil mi, çünkü normal zamanda ya hiç bi sonuç vermiyor, yada 2-3 tane çıkıyor en fazla.

2) O anki saldırıyo kesmek için şu iki iptables komutunu kullanıyorum :

iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j RETURN
iptables -A INPUT -p tcp -m tcp -d 80 -j DROP

bu komutlardan sonra yeniden netstat -np | grep SYN_RECV yaptığımda ise hemen hemen kaybolduğunu gözlemliyorum. Ama acaba bu SYN FLOOD'u tamamen önleyecek bir komut yok mudur? İlle saldırı anına denk gelip bu şekilde mi kesmem lazım, Başka yapabilirim?

Bu konuda iyi bilgili arkadaşlar, beni aydınlatabilirlerse sevinirim. Saygılar

[Uzak444]

apfden o portları kapatsanız daha iyi olur

[darXis]

80'i nasıl kapatsın dostum

[Mohti]

tcp 0 0 62.*.*.*:80 81.215.237.83:1174 SYN_RECV -

80'i kapat dememiski arkadas..

Sanırım görmemişsin.Soruyu Soran arkadas Kendi ip'ini ** koyarak gizlemis.
Mesela verdiğim örnekte 81.215.237.83:1174 ip'inden saldiri olmus..
Buradaki Port 1174..
Yani kapatilmasi gereken Port bu sanirim..
Aynı Sorun bendede var Cünkü. Daha Cözüm bulamadim

[MasterTR]

62.*.*.* burda yazilan serverin ipsi dir
:80 buda serverin portudur, egerki bu portu kapatirsa siteye eri$im olmayacaktir(80. port un ne i$e yaradigini biliyosundur umarim)

[Uzak444]

master ve okan haklı portları karıştırdım ben sondaki port adamın gönderdiği en baştaki 80 server portu

[Mohti]

Okan Kim ?

[MasterTR]

Alıntı:

Mohti´isimli üyeden Alıntı

Okan Kim ?

darxis nickli uye

[Mohti]

Ha Siz Grup yada arkada$ falansınız Pardon girmiyim araniza ben

[MasterTR]

Alıntı:

Mohti´isimli üyeden Alıntı

Ha Siz Grup yada arkada$ falansınız Pardon girmiyim araniza ben

bu yazdigin mesaj konuyu dagitmaktan ba$ka bir i$e yaramiyor (aynen ilk mesajin ve digerlerinde oldugu gibi)