DUMPER l'activité du serveur:
tcpdump -w /tmp/dumpfile.pcap -c 100000
Contrer les SYN-ATTAQUE:
voir les IP des attaques:
netstat -an | grep SYN_RECV
Contrer l'attaque:
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1024" > /proc/sys/net/ipv4/tcp_max_syn_backlog
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
Configuration:
Il est possible de paramétrer ses valeurs de façon permanente en modifiant le fichier /etc/sysctl.conf :
net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.tcp_max_syn_backlog = 1024
sysctl -p /etc/sysctl.conf
Configuration IPTABLES protection contre les Syn-attaques
for i in ` netstat -tanpu | grep "SYN_RECV" | awk {'print $5'} | cut -f 1 -d ":" | sort | uniq -c | sort -n | awk {'if ($1 > 3) print $2'}` ; do echo $i; iptables -A INPUT -s $i/24 -j DROP; done
tcpdump -w /tmp/dumpfile.pcap -c 100000
Contrer les SYN-ATTAQUE:
voir les IP des attaques:
netstat -an | grep SYN_RECV
Contrer l'attaque:
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1024" > /proc/sys/net/ipv4/tcp_max_syn_backlog
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
Configuration:
Il est possible de paramétrer ses valeurs de façon permanente en modifiant le fichier /etc/sysctl.conf :
net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.tcp_max_syn_backlog = 1024
sysctl -p /etc/sysctl.conf
Configuration IPTABLES protection contre les Syn-attaques
for i in ` netstat -tanpu | grep "SYN_RECV" | awk {'print $5'} | cut -f 1 -d ":" | sort | uniq -c | sort -n | awk {'if ($1 > 3) print $2'}` ; do echo $i; iptables -A INPUT -s $i/24 -j DROP; done