Synflood Attacken blockieren

Question

Hiho,

da hier ja eine Menge Spezialisten rumhüpfen, mal eine Frage an euch:

Gibt es eine Zuverlässige Möglichkeit Syn-flood attacken komplett zu blocken. Die Attacken kommen auf Port 80(httpd) rein. Den kann ich ja schlecht ausschalten. Ich hab bei google einige Lösungen für iptables gefunden, aber irgendwie funktioniert das alles nicht richtig.

Es handelt sich bei mir um ein Produktivsystem, deswegen hoffe ich schnell eine Lösung zu finden.

Wäre super wenn einer von euch ein Lösung hat. Das vorschalten einer externen Firewall ist leider nicht möglich.

MFG Wolfi

Answer 1

Hier was zum Durchlesen:

Hardening the TCP/IP stack to SYN attacks

"Zuverlässig" und "komplett" sind natürlich nie zu erreichen. Das sollte wohl klar sein. Außer, du ziehst den Strecker.

Massaraksch

Answer 2

hey,

gegen syn-flood attaken hilft nicht nur eine firewall (einfacher als iptables/netfilter direkt zu konfigurieren wäre da z.b. das ufw frontend von canonical) , sondern alternativ die s.g. syn-cookies.

1. wenn dein kernel bereits die unterstützung dafür bietet, so sollte folgende zeile (in der shell) reichen, um die syn-cookies zu aktivieren:

{als root)

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

um die änderung auch wirksam zu machen, müsstest du nun noch die (betroffenen) adapter "neustarten"

{als root}

ifconfig eth0 down && ifconfig lo down && ifconfig lo up && ifconfig eth0 up

sollte das funktionieren, ist dein problem gelöst und du kannst diese "option" dauerhaft in der /etc/sysctl.conf (oder wo das teil bei dir liegt) eintragen:

net.ipv4.tcp_syncookies = 1

Answer 3

..aso- ersetze eth0 im obigen beispiel mit deinem adapter (eth1|wlan0|ath0|...).

Answer 4

Ui, danke, hatte vergessen den Netzwerk adapter neu zu starten. Ich hoffe es funktioniert jetzt