¿qué significa “posibles inundaciones SYN en el puerto 8009. Envío de cookies” medias en / var / log / messages?
Pregunta
Tengo una configuración de aplicaciones web Apache Tomcat + mod_jk + (conector para mod_jk en 8009 puerto). Recientemente mi aplicación comenzó a colgar par de veces al día y en / var / logs / mensajes hay entradas como "posibles inundaciones SYN en el puerto 8009. Envío de cookies" con 30-60 segundos. Tengo que reiniciar cada vez que se bloquea la aplicación.
Es ataque DDoS? o errores del sistema / aplicaciones pueden causar este problema?
Cualquier ayuda sería muy apreciada.
Gracias.
Solución
Este artículo sobre tcp_syncookies ayuda puede explicar el problema.
Alguien o algo está enviando paquetes SYN a su aplicación. Puede ser que sea un cliente legítimo que no recibe la cookie ACK (es su aplicación en funcionamiento?), O podría ser alguien malévolo (se distribuyó o no).
Otros consejos
En primer lugar, tuve un vistazo a las reglas existentes
iptables -L -v
Esto le muestra las reglas y la política por defecto que se encuentra en las cadenas existentes -. INPUT, FORWARD y OUTPUT
Luego siguió estos pasos rápidos -
- Crear una nueva cadena y el nombre que, por ejemplo, DDOS_SYNFLOOD,
iptables -N DDOS_SYNFLOOD
- Añadir un límite a no.of paquetes de 15 por segundo con una ráfaga máxima de alrededor de 20, utilizando el módulo de límite -
iptables -A DDOS_SYNFLOOD -m límite --limit 15 / segundo --limit-burst 20 -j ACCEPT
Nota: Otras unidades - / minuto, / hora, y / día
- Y, por supuesto, tendremos que descartar los paquetes que superan la limitación anterior
iptables -A DDOS_SYNFLOOD -j DROP
- Ahora todo lo que quedaba era la de "salto" a esta nueva cadena de paquetes TCP SYN entrantes en el puerto 80.
iptables -A ENTRADA -p tcp --syn --dport http -j DDOS_SYNFLOOD
Y para vistazo a lo que se creó -