28 Oct
2002
28 Oct
'02
13:38
Frank Jäschke wrote:
seit 27.10.2002 tauchen auf all meinen Webservern in /var/log/messages die folgenden Zeile auf :
Oct 28 11:00:57 sink kernel: possible SYN flooding on port 80. Sending cookies.
Woher können die stammen ? Der Kernel ist 2.2.22 mit "TCP syncookie support" Gute oder schlechte Einträge ?
ich denke diese frage ist nicht mit gut oder schlecht zu beantworten. erstmal bedeutet es nur das sehr viele packete mit gesetztem SYN auf port 80 bei dir aufschlagen. da du "TCP syncookie support" gesetzt hast reagiert der kernel entsprechend. ob da nun wirklich jemand einen 'SYN flood' auf deine systeme versucht, vermag ich von hier nicht zu sagen. aber so etwas kann nie ausgeschlossen werden. http://cr.yp.to/syncookies.html micha