¿qué significa “posibles inundaciones SYN en el puerto 8009. Envío de cookies” medias en / var / log / messages?

Question

Tengo una configuración de aplicaciones web Apache Tomcat + mod_jk + (conector para mod_jk en 8009 puerto). Recientemente mi aplicación comenzó a colgar par de veces al día y en / var / logs / mensajes hay entradas como "posibles inundaciones SYN en el puerto 8009. Envío de cookies" con 30-60 segundos. Tengo que reiniciar cada vez que se bloquea la aplicación.

Es ataque DDoS? o errores del sistema / aplicaciones pueden causar este problema?

Cualquier ayuda sería muy apreciada.

Gracias.

Answer 1

Este artículo sobre tcp_syncookies ayuda puede explicar el problema.

Alguien o algo está enviando paquetes SYN a su aplicación. Puede ser que sea un cliente legítimo que no recibe la cookie ACK (es su aplicación en funcionamiento?), O podría ser alguien malévolo (se distribuyó o no).

Answer 2

En primer lugar, tuve un vistazo a las reglas existentes

iptables -L -v

Esto le muestra las reglas y la política por defecto que se encuentra en las cadenas existentes -. INPUT, FORWARD y OUTPUT

Luego siguió estos pasos rápidos -

1. Crear una nueva cadena y el nombre que, por ejemplo, DDOS_SYNFLOOD,

iptables -N DDOS_SYNFLOOD

1. Añadir un límite a no.of paquetes de 15 por segundo con una ráfaga máxima de alrededor de 20, utilizando el módulo de límite -

iptables -A DDOS_SYNFLOOD -m límite --limit 15 / segundo --limit-burst 20 -j ACCEPT

Nota: Otras unidades - / minuto, / hora, y / día

1. Y, por supuesto, tendremos que descartar los paquetes que superan la limitación anterior

iptables -A DDOS_SYNFLOOD -j DROP

1. Ahora todo lo que quedaba era la de "salto" a esta nueva cadena de paquetes TCP SYN entrantes en el puerto 80.

iptables -A ENTRADA -p tcp --syn --dport http -j DDOS_SYNFLOOD

Y para vistazo a lo que se creó -

iptables -L -v