Iptables и SYN flood?

Question

[NikoB]

Сейчас ведется атака вида SYN flood на мой сервер. Причем только с одного ip-адреса, но сервер все равно регулярно "молчит" в течении 5-7 минут, и потом доступен секунд 15-20.


Внес этот IP в iptables следующей командой:

iptables -A INPUT -p all -s 178.173.168.238 -j DROP

Но до сих пор в netstat появляется куча SYN_RECV от этого IP.

При выводе iptables -L INPUT этот IP там присутствует!


Как заблокировать все соединения с этого IP???

Answer 1

[nick5]

178.173.168.238 — это IP-адрес атакующего? Зайдите на него через браузер.
Введите admin:admin… Вы не поверите…

Comments

[xandr0s]

уже сменился)))

[lashtal]

q1q2q3

[S1ashka]

не успел поиграться :(

[nick5]

Автор, твою проблему решили :)
Кажется вырубали товарищу интернет :)

[Alx]

Что там было то??

[Daniel Newman]

Можно играться дальше.)

Answer 2

[mihavxc]

У меня вот так прописано:

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
# SYN and FIN are both set
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
# SYN and RST are both set
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
# FIN and RST are both set
iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
# FIN is the only bit set, without the expected accompanying ACK
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
# PSH is the only bit set, without the expected accompanying ACK
iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
# URG is the only bit set, without the expected accompanying ACK
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP

Answer 3

[xandr0s]

Если это SYN flood, может быть имеет смысл правила писать конкретно под флаги SYN, ACK SYN…?