cosa significa “possibile SYN flooding sulla porta 8009 Invio cookie” medi in / var / log / messages?
Domanda
Ho una messa a punto un'applicazione web apache + mod_jk + Tomcat (connettore per mod_jk il 8009 porta). Recentemente la mia app ha iniziato ad appendere paio di volte al giorno e in / var / log / messages ci sono voci come "flooding SYN possibile sulla porta 8009 Invio cookies" con 30-60 secondi. Devo ricominciare ogni volta che si blocca app.
E 'attacco DDoS? o errori di sistema / applicazioni possono causare questo problema?
Qualsiasi aiuto sarebbe molto apprezzato.
Grazie.
Soluzione
Questo articolo su tcp_syncookies aiuto potenza spiegare il problema.
Qualcuno o qualcosa sta inviando pacchetti SYN alla vostra applicazione. Potrebbe essere un cliente legittimo che non riceve il cookie ACK (è il vostro lavoro applicazione?), Oppure potrebbe essere qualcuno malevolo (è distribuito o meno).
Altri suggerimenti
Prima di tutto, ho dato un'occhiata alle regole esistenti
iptables -L -v
Questo vi mostra le regole e la politica predefinita che si trova in catene esistenti -. INPUT, FORWARD e OUTPUT
Poi ho seguito questi passi veloci -
- Crea una nuova catena e il nome, ad esempio, DDOS_SYNFLOOD,
iptables -N DDOS_SYNFLOOD
- Aggiungi un limite al Numero di pacchetti 15 al secondo con una raffica massima di circa 20, utilizzando il modulo limit -
iptables -A -m DDOS_SYNFLOOD limite --limit 15 / secondo --limit-scoppio 20 -j ACCEPT
Nota: Altre unità - / minuto, / ora, e / giorno
- E, naturalmente, avremo bisogno di eliminare i pacchetti che superano il limite di cui sopra
iptables -A DDOS_SYNFLOOD -j DROP
- Ora tutto quello che rimaneva era quella di "salto" a questa nuova catena per i pacchetti TCP SYN in ingresso sulla porta 80.
iptables -A INPUT -p tcp --syn --dport http -j DDOS_SYNFLOOD
E per un'occhiata a ciò che è stato istituito -