Hallo Liste, seit 27.10.2002 tauchen auf all meinen Webservern in /var/log/messages die folgenden Zeile auf : Oct 28 11:00:57 sink kernel: possible SYN flooding on port 80. Sending cookies. Oct 28 11:01:58 sink kernel: possible SYN flooding on port 80. Sending cookies. Oct 28 11:02:59 sink kernel: possible SYN flooding on port 80. Sending cookies. Oct 28 11:04:30 sink kernel: possible SYN flooding on port 80. Sending cookies. Oct 28 11:06:10 sink kernel: possible SYN flooding on port 80. Sending cookies. Oct 28 11:07:11 sink kernel: possible SYN flooding on port 80. Sending cookies. Oct 28 11:08:11 sink kernel: possible SYN flooding on port 80. Sending cookies. Oct 28 11:09:11 sink kernel: possible SYN flooding on port 80. Sending cookies. Oct 28 11:10:12 sink kernel: possible SYN flooding on port 80. Sending cookies. Oct 28 11:11:49 sink kernel: possible SYN flooding on port 80. Sending cookies. Oct 28 11:12:55 sink kernel: possible SYN flooding on port 80. Sending cookies. Oct 28 11:13:57 sink kernel: possible SYN flooding on port 80. Sending cookies. Oct 28 11:14:57 sink kernel: possible SYN flooding on port 80. Sending cookies. Oct 28 11:15:58 sink kernel: possible SYN flooding on port 80. Sending cookies. Oct 28 11:16:59 sink kernel: possible SYN flooding on port 80. Sending cookies. Woher können die stammen ? Der Kernel ist 2.2.22 mit "TCP syncookie support" Gute oder schlechte Einträge ? Mit freundlichen Grüßen Frank Jäschke DeTeLine TelePort Bitterfeld
Frank Jäschke wrote:
seit 27.10.2002 tauchen auf all meinen Webservern in /var/log/messages die folgenden Zeile auf :
Oct 28 11:00:57 sink kernel: possible SYN flooding on port 80. Sending cookies.
Woher können die stammen ? Der Kernel ist 2.2.22 mit "TCP syncookie support" Gute oder schlechte Einträge ?
ich denke diese frage ist nicht mit gut oder schlecht zu beantworten. erstmal bedeutet es nur das sehr viele packete mit gesetztem SYN auf port 80 bei dir aufschlagen. da du "TCP syncookie support" gesetzt hast reagiert der kernel entsprechend. ob da nun wirklich jemand einen 'SYN flood' auf deine systeme versucht, vermag ich von hier nicht zu sagen. aber so etwas kann nie ausgeschlossen werden. http://cr.yp.to/syncookies.html micha
On Mon, 28 Oct 2002, Frank Jäschke wrote:
Oct 28 11:15:58 sink kernel: possible SYN flooding on port 80. Sending cookies. Oct 28 11:16:59 sink kernel: possible SYN flooding on port 80. Sending cookies.
Woher können die stammen ? Der Kernel ist 2.2.22 mit "TCP syncookie support" Gute oder schlechte Einträge ?
sieht nach in der Tat nach SYN Flooding aus. Die Meldung kommt vom kernel der versucht den Angriff mit SYN-Cookies abzuwehren. Gegen die SYN-Cookies gibt es aber eine DDoS Vulnerability (habe grade keine aktuelle URL, siehe CERT oder securityfocus), deswegen werden sie eigentlich nicht empfohlen. Abschalten mit: echo 0 > /proc/sys/net/ipv4/tcp_syncookies Mit iptables kann man SYN Flooding mit der --limit Option begegnen, keine Ahnung ob das bei ipchains (Kernel 2.2.22) auch geht. Achim
Achim Hoffmann wrote:
Oct 28 11:15:58 sink kernel: possible SYN flooding on port 80. Sending cookies. Oct 28 11:16:59 sink kernel: possible SYN flooding on port 80. Sending cookies.
Woher können die stammen ? Der Kernel ist 2.2.22 mit "TCP syncookie support" Gute oder schlechte Einträge ?
sieht nach in der Tat nach SYN Flooding aus. Die Meldung kommt vom kernel der versucht den Angriff mit SYN-Cookies abzuwehren. Gegen die SYN-Cookies gibt es aber eine DDoS Vulnerability (habe grade keine aktuelle URL, siehe CERT oder securityfocus), deswegen werden sie eigentlich nicht empfohlen. Abschalten mit:
echo 0 > /proc/sys/net/ipv4/tcp_syncookies
du meinst diese hier? | http://cert.uni-stuttgart.de/ticker/article.php?mid=552 galt bei 2.2.x nur für kernel < 2.2.20.
Mit iptables kann man SYN Flooding mit der --limit Option begegnen, keine Ahnung ob das bei ipchains (Kernel 2.2.22) auch geht.
nein, ipchains kann das nicht. micha
On Mon, 28 Oct 2002, Michael Meyer wrote:
Gegen die SYN-Cookies gibt es aber eine DDoS Vulnerability (habe grade keine aktuelle URL, siehe CERT oder securityfocus), deswegen werden sie eigentlich nicht empfohlen. Abschalten mit:
echo 0 > /proc/sys/net/ipv4/tcp_syncookies
du meinst diese hier? | http://cert.uni-stuttgart.de/ticker/article.php?mid=552
nein, die ist wohl etwas "out-dated".
galt bei 2.2.x nur für kernel < 2.2.20.
hier sieht es aktueller aus: http://online.securityfocus.com/bid/3505
Achim Hoffmann wrote:
Gegen die SYN-Cookies gibt es aber eine DDoS Vulnerability (habe grade keine aktuelle URL, siehe CERT oder securityfocus), deswegen werden sie eigentlich nicht empfohlen. Abschalten mit:
echo 0 > /proc/sys/net/ipv4/tcp_syncookies
du meinst diese hier? | http://cert.uni-stuttgart.de/ticker/article.php?mid=552
nein, die ist wohl etwas "out-dated".
galt bei 2.2.x nur für kernel < 2.2.20.
hier sieht es aktueller aus: http://online.securityfocus.com/bid/3505
ja, du hast recht. in der meldung ist dann auch der 2.2.20 vulnerable. im 2.2.22 sollte das aber gefixt sein, oder? micha
participants (3)
-
Achim Hoffmann
-
Frank Jäschke
-
Michael Meyer