Iptables и SYN flood?

Сейчас ведется атака вида SYN flood на мой сервер. Причем только с одного ip-адреса, но сервер все равно регулярно "молчит" в течении 5-7 минут, и потом доступен секунд 15-20.


Внес этот IP в iptables следующей командой:
iptables -A INPUT -p all -s 178.173.168.238 -j DROP



Но до сих пор в netstat появляется куча SYN_RECV от этого IP.

При выводе iptables -L INPUT этот IP там присутствует!


Как заблокировать все соединения с этого IP???
  • Вопрос задан
  • 8142 просмотра
Решения вопроса 1
nick5
@nick5
178.173.168.238 — это IP-адрес атакующего? Зайдите на него через браузер.
Введите admin:admin… Вы не поверите…
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
mihavxc
@mihavxc
У меня вот так прописано:

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
# SYN and FIN are both set
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
# SYN and RST are both set
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
# FIN and RST are both set
iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
# FIN is the only bit set, without the expected accompanying ACK
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
# PSH is the only bit set, without the expected accompanying ACK
iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
# URG is the only bit set, without the expected accompanying ACK
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP
Ответ написан
xandr0s
@xandr0s
Если это SYN flood, может быть имеет смысл правила писать конкретно под флаги SYN, ACK SYN…?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы