再び SYN Flood 攻撃

2007-06-22 22:31:30 | | このエントリーを含むはてなブックマーク | Tag: linux syn_flood サーバ サイバー攻撃 研究室 大学

何故だかまた攻撃が来てました。

結局の所、対策のしようがないのが SYN Flood なので、半分放置気味(ぇ)。対策とは言えないけど、次のようなことをしておけば良いかも知れない。

# echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# modprobe ip_conntrack
# echo 5 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_recv

先ずは定番の SYN Cookie を有効にする。Linux の実装では、平常時のアクセスでは SYN Cookie を用いない。SYN Flood と思われるときだけ SYN Cookie となるので、echo 1 してから即 SYN Cookie が使われるというわけではない。

続いて SYN を受け取ってから ACK パケットのタイムアウトを 5 秒にした。慣習的(デフォルト)には 60 秒らしいけど、変なのを送りつけられて 60 秒も待っているのはあれなので。ただし短くしすぎると正常なクライアントからの接続要求が破棄されてしまうので、地球の裏側から来ることを考慮しても 5 秒が限界かな……。

今回は iptables の設定はしていません。しても正常なクライアントを拒否してしまいそうなので。

Related Entries

Trackbacks

Trackback URI: http://blog.c--v.net/trackback/2007/06/22/1

There is no trackback.

Comments

There is no comment.

Name
URI (Homepage or Email)
Body