cosa significa “possibile SYN flooding sulla porta 8009 Invio cookie” medi in / var / log / messages?

Question

Ho una messa a punto un'applicazione web apache + mod_jk + Tomcat (connettore per mod_jk il 8009 porta). Recentemente la mia app ha iniziato ad appendere paio di volte al giorno e in / var / log / messages ci sono voci come "flooding SYN possibile sulla porta 8009 Invio cookies" con 30-60 secondi. Devo ricominciare ogni volta che si blocca app.

E 'attacco DDoS? o errori di sistema / applicazioni possono causare questo problema?

Qualsiasi aiuto sarebbe molto apprezzato.

Grazie.

Answer 1

Questo articolo su tcp_syncookies aiuto potenza spiegare il problema.

Qualcuno o qualcosa sta inviando pacchetti SYN alla vostra applicazione. Potrebbe essere un cliente legittimo che non riceve il cookie ACK (è il vostro lavoro applicazione?), Oppure potrebbe essere qualcuno malevolo (è distribuito o meno).

Answer 2

Prima di tutto, ho dato un'occhiata alle regole esistenti

iptables -L -v

Questo vi mostra le regole e la politica predefinita che si trova in catene esistenti -. INPUT, FORWARD e OUTPUT

Poi ho seguito questi passi veloci -

1. Crea una nuova catena e il nome, ad esempio, DDOS_SYNFLOOD,

iptables -N DDOS_SYNFLOOD

1. Aggiungi un limite al Numero di pacchetti 15 al secondo con una raffica massima di circa 20, utilizzando il modulo limit -

iptables -A -m DDOS_SYNFLOOD limite --limit 15 / secondo --limit-scoppio 20 -j ACCEPT

Nota: Altre unità - / minuto, / ora, e / giorno

1. E, naturalmente, avremo bisogno di eliminare i pacchetti che superano il limite di cui sopra

iptables -A DDOS_SYNFLOOD -j DROP

1. Ora tutto quello che rimaneva era quella di "salto" a questa nuova catena per i pacchetti TCP SYN in ingresso sulla porta 80.

iptables -A INPUT -p tcp --syn --dport http -j DDOS_SYNFLOOD

E per un'occhiata a ciò che è stato istituito -

iptables -L -v