何故だかまた攻撃が来てました。
結局の所、対策のしようがないのが SYN Flood なので、半分放置気味(ぇ)。対策とは言えないけど、次のようなことをしておけば良いかも知れない。
# echo 1 > /proc/sys/net/ipv4/tcp_syncookies # modprobe ip_conntrack # echo 5 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_recv
先ずは定番の SYN Cookie を有効にする。Linux の実装では、平常時のアクセスでは SYN Cookie を用いない。SYN Flood と思われるときだけ SYN Cookie となるので、echo 1 してから即 SYN Cookie が使われるというわけではない。
続いて SYN を受け取ってから ACK パケットのタイムアウトを 5 秒にした。慣習的(デフォルト)には 60 秒らしいけど、変なのを送りつけられて 60 秒も待っているのはあれなので。ただし短くしすぎると正常なクライアントからの接続要求が破棄されてしまうので、地球の裏側から来ることを考慮しても 5 秒が限界かな……。
今回は iptables の設定はしていません。しても正常なクライアントを拒否してしまいそうなので。
Related Entries
- 研究室のウェブサーバに SYN Flood と思われる攻撃が (2007-03-08)
- 研究室のウェブサーバの物理メモリを増やした (2007-06-28)
Trackbacks
Trackback URI: http://blog.c--v.net/trackback/2007/06/22/1
There is no trackback.
There is no comment.