Возможно ли отфильтровать на ipfw?

Question

[SkyWorld]

Нас очень часто досят синфлудом, вот под такие правила подпадают часть атак:

ipfw 30 deny tcp from any to any in via $oif tcpoptions !mss setup
ipfw 31 deny tcp from any to any in via $oif tcpflags syn tcpoptions !mss

Но к сожалению SYN флуд есть такой, который пролетает эти правила.

17:26:09.412994 IP 201.7.252.191.24116 > 85.39.14.140.22: Flags [S], seq 454842539, win 512, options [mss 1460], length 0
17:26:09.413010 IP 243.223.180.133.24117 > 85.39.14.140.22: Flags [S], seq 1188803702, win 512, options [mss 1460], length 0
17:26:09.413012 IP 63.210.108.80.24118 > 85.39.14.140.22: Flags [S], seq 2124398937, win 512, options [mss 1460], length 0
17:26:09.413024 IP 58.70.168.80.24119 > 85.39.14.140.22: Flags [S], seq 384800345, win 512, options [mss 1460], length 0
17:26:09.413038 IP 172.222.29.109.24120 > 85.39.14.140.22: Flags [S], seq 1200159057, win 512, options [mss 1460], length 0
17:26:09.413047 IP 127.220.63.0.24121 > 85.39.14.140.22: Flags [S], seq 299118694, win 512, options [mss 1460], length 0
17:26:09.413052 IP 85.26.80.237.24122 > 85.39.14.140.22: Flags [S], seq 1668929187, win 512, options [mss 1460], length 0
17:26:09.413062 IP 109.168.89.26.24123 > 85.39.14.140.22: Flags [S], seq 1238532245, win 512, options [mss 1460], length 0

Такую атаку посмотрев tcpdump очень легко баним следующим правилом

ipfw add 8 deny tcp from any to any in via $oif setup tcpwin 512 tcpdatalen 0-0

Но в последнее время стал прилетать вот такой SYN флуд, банить чисто по 1 критерию datalength 0-0 не вариант так как попадают валидные пакеты.

22:19:14.640202 IP 64.10.157.206.24647 > 85.39.14.140.22: Flags [S], seq 357826560, win 33536, options [mss 1440,nop,wscale 8,nop,nop,sackOK], length 0
22:19:14.640204 IP 114.150.41.38.13033 > 85.39.14.140.22: Flags [S], seq 1207566336, win 26625, options [mss 1440,nop,wscale 8,nop,nop,sackOK], length 0
22:19:14.640205 IP 15.213.92.20.12220 > 85.39.14.140.22: Flags [S], seq 1521418240, win 2115, options [mss 1440,nop,wscale 8,nop,nop,sackOK], length 0
22:19:14.640206 IP 182.153.18.78.30371 > 85.39.14.140.22: Flags [S], seq 61865984, win 32768, options [mss 1440,nop,wscale 8,nop,nop,sackOK], length 0
22:19:14.640207 IP 80.22.219.42.45138 > 85.39.14.140.22: Flags [S], seq 3309371392, win 38494, options [mss 1440,nop,wscale 8,nop,nop,sackOK], length 0
22:19:14.640208 IP 112.143.57.207.28734 > 85.39.14.140.22: Flags [S], seq 86835200, win 38494, options [mss 1440,nop,wscale 8,nop,nop,sackOK], length 0
22:19:14.640209 IP 46.242.136.109.44588 > 85.39.14.140.22: Flags [S], seq 3678339072, win 16384, options [mss 1440,nop,wscale 8,nop,nop,sackOK], length 0
22:19:14.640211 IP 199.22.76.232.516 > 85.39.14.140.22: Flags [S], seq 1997996032, win 56388, options [mss 1440,nop,wscale 8,nop,nop,sackOK], length 0
22:19:14.640213 IP 132.83.125.146.9321 > 85.39.14.140.22: Flags [S], seq 1366949888, win 42527, options [mss 1440,nop,wscale 8,nop,nop,sackOK], length 0

Подскажите, можно ли какими то правилами (может быть можно как то использовать из options [mss 1440,nop,wscale 8,nop,nop,sackOK]) это зарезать? Заранее спасибо! Составлять какие то банлисты нет смысла, адреса спуфят, каждый пакет с рандомного IP прилетает. syncookie то же не вариант так как при 3mpps умирает все, ipfw эти 3mpps держит без проблем если режется правилом.

Answer 1

[Ilya Evseev]

Вы не хотите перевесить SSH на какой-нибудь другой порт?
И разрешить к нему доступ только с "хороших" адресов?
Дополнительные адреса разрешать через knock:
www.marksanborn.net/linux/add-port-knocking-to-ssh...