Re: [HS] Syn flood, comment s'en débarrasser ?

To: debian-user-french@lists.debian.org
Subject: Re: [HS] Syn flood, comment s'en débarrasser ?
From: Felix Defrance <felix@d2france.fr>
Date: Fri, 19 Jun 2015 16:17:18 +0200
Message-id: <[🔎] 5584246E.6060307@d2france.fr>
In-reply-to: <[🔎] 55841CE4.80301@gwilhom.fr>
References: <[🔎] 2B0C09E9-A3CD-496A-8BE9-7B463ADCF473@worldonline.fr> <[🔎] 55841CE4.80301@gwilhom.fr>

Bonjour,

J'ai moi aussi ce type de requêtes sans que cela soit vraiment du synflood. J'entends par synflood, une masse énorme de requête qui viendrait à faire loader mes serveurs.

Dans votre cas, qui semble être comme le miens, on peut ignorer ces requêtes.

Néanmoins, il est intéressent de s'assurer que le nombre de SYN_RECV n'avoisine pas la valeur tcp_max_syn_backlog.

Sur Debian la valeur par défaut est 2048.  Si c'était le cas, vous pouvez activer tcp_syncookies

Plus info ici => https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt

En dernier recours, si votre serveur ne répond plus il faut ce tourner vers des solutions de mitigation de trafic cela doit se faire en amont de votre serveur.

Félix.
Le 19/06/2015 15:45, Guillaume a écrit :
> Bonjour,
>
> Vous avez vérifié la configuration d'iptables des fois qu'une 'porte'
> ne soit pas resté ouverte ?
>
>
> Le 19/06/2015 15:28, Philippe Gras a écrit :
> > Bonjour,
> >
> > ça fait un mois environ que j’ai des trucs comme ça avec netstat -antp :
> > -----------------------------------------------------------------------------------------------------------
> >
> > tcp        0      0 X.XXX.XXX.XX:3306       174.36.59.12:36852     
> > SYN_RECV    -
> > tcp        0      0 X.XXX.XXX.XX:3306       174.36.59.12:53921     
> > SYN_RECV    -
> > tcp        0      0 X.XXX.XXX.XX:3306       174.36.59.12:56058     
> > SYN_RECV    -
> > tcp        0      0 X.XXX.XXX.XX:3306       174.36.59.12:16231     
> > SYN_RECV    -
> > tcp        0      0 X.XXX.XXX.XX:3306       174.36.59.12:30945     
> > SYN_RECV    -
> > tcp        0      0 X.XXX.XXX.XX:3306       186.2.161.165:1675     
> > SYN_RECV    -
> > tcp        0      0 X.XXX.XXX.XX:3306       174.36.59.12:58255     
> > SYN_RECV    -
> > -----------------------------------------------------------------------------------------------------------
> >
> >
> > D’après ce que je comprends, la requête aboutit sur un port lambda et
> > demande
> > quelque chose sur celui de MySQL. Le service tourne sur un socket, il
> > n’y a rien
> > dans la colonne du PID.
> >
> > Normalement, ma policy est DROP sur Netfilter.
> >
> > 1°    Je ne comprends pas comment des requêtes peuvent être traitées
> > sur des
> >     ports fermés.
> > 2°    J’ai ajouté un module pour loguer les IP et les paquets, mais
> > apparemment
> >     rien n’aboutit.
> > 3°    Dois-je m’inquiéter de cet état de choses ?
>
>

-- 
Félix Defrance
PGP: 0x0F04DC57

Reply to:

References:
- [HS] Syn flood, comment s'en débarrasser ?
  - From: Philippe Gras <ph.gras@worldonline.fr>
- Re: [HS] Syn flood, comment s'en débarrasser ?
  - From: Guillaume <list-debian@gwilhom.fr>

Prev by Date: Re: [HS] Syn flood, comment s'en débarrasser ?
Next by Date: Re: [HS] Syn flood, comment s'en débarrasser ?
Previous by thread: Re: [HS] Syn flood, comment s'en débarrasser ?
Next by thread: Re: [HS] Syn flood, comment s'en débarrasser ?
Index(es):
- Date
- Thread