Linuxルーターのトラフィックを監視してsyn-floodを検出する
ソリッドステートドライブを備えたLinuxサーバー(Debian-Lenny)があり、ハードディスククラシックはありません。彼はルーターとして使用しているので、トラフィックは転送専用です。
いくつかのシンフラッドを見つけることができるように接続を監視したいと思います。 Netstatは役に立ちますが、トラフィックは約150 Mbit/sと多く、「/ proc/net」を調べるnetstatはトラフィックをブロックするため、使用できる方法ではありません。実際には、「hashlimit- *」を指定したiptablesルールを使用して、次のことを確認します。ソースからの接続が分単位で多すぎないこと。しかし、私たちの背後にあるネットワークにとって「多すぎる」ため、調整するのは簡単ではありません。
誰かに私たちに何ができるか考えがありますか?
助けてくれてありがとう、
から ウェブサイト :
iptables -A INPUT -p tcp --syn -m limit --limit 10/s --limit-burst 5 -j ACCEPT
iptables -A INPUT -p tcp --syn -j LOG
iptables -A INPUT -p tcp --syn -j DROP
PPの答えはかなり良いですが、ドロップしているトラフィックが確実になるまで、最後に「DROP」ルールを実装したくない場合があります。 LOGルールを監視し、正当なトラフィックをドロップしていないことを確認します。
Syn-floodが心配な場合は、syn-cookieを有効にすることを検討してください。 Syn Cookieは、接続テーブルをハーフオープン接続で埋める問題を軽減します。良い説明は http://cr.yp.to/syncookies.html にあります